Avklaringsbehov: Brukere uten brukerprofil (i Altinn 2) skal ikke kunne bruke Altinn 3 #1084
Comments
jonkjetiloye
added
kind/analysis
|
Ref Slack-tråden kan jeg ikke forstå at dette er noe som krever noen stor utredning før vi kan fikse det. I 2014 ble bruken av eksplisitt samtykke/opt-in for digital kommunikasjon i Altinn fjernet, i forbindelse med at KRR ble etablert 1. januar samme år og forvaltningslovens §15a og eForvaltningsforskriften endret til å praksis gjøre elektronisk kommunikasjon med det offentlige til å være "opt-out" (gjennom reservasjonsrett) i stedet for "opt-in" (gjennom samtykke). Årsaken til at dette er et problem er etter min oppfatning 100% teknisk av natur, og dermed å regne som en bug. Det at de nødvendige metadata knyttet til personer i Altinn ikke opprettes ifm FREG-synkroniseringen, er en konsekvens av det regimet som gjaldt før 2014, hvor det ga mening å gjøre dette idet brukeren eksplisitt ga sitt samtykke. Da dette ble fjernet, var korteste vei til mål å gjøre selve samtykke-handlingen skjult og automatisk, da dette for de fleste praktiske forhold resulterte i akkurat det samme som om man hadde gjort (den formodentlig mer omfattende) jobben med å flytte denne logikken til FREG-synkroniseringen, hvor dette naturlig hadde hørt hjemme om ikke ordningen med eksplisitt samtykke hadde eksistert i utgangspunktet. Nå - 10 år senere - opplever vi stadig oftere at dette tekniske løsningsvalget har rent funksjonelle konsekvenser, med f.eks. at (fullstendig rettmessig og juridisk trygt fundert) bruk av Altinns Autorisasjons-APIer ikke fungerer fordi den aktuelle brukeren (som kanskje prøver å benytte en NAV- eller Skatt-tjeneste) tilfeldigvis aldri har vært innlogget i Altinn 2-portalen - som nå fremstår som fullstendig vilkårlig. Dette er en helt uholdbar - og utilsiktet - situasjon å befinne seg i, og som undergraver funksjon og dermed tillit til Altinn Autorisasjon som løsning, og dermed alt annet som belager seg på den faktisk fungerer (det være seg Altinn 3, Dialogporten, Ansattporten, NAVs portal, Skatts portal, og alle andre nåværende og fremtidige fullmaktsløsninger). Så for meg (med team-arkitekt-hatten på vel og merke) er dette en fullstendig no-brainer og bare noe som må gjøres. Rent teknisk har jeg mest sansen for løsning 1, da dette formodentlig vil ha minst run-time konsekvenser ved oppslag. |
|
Enig, vi behandler alle disse personopplysningene uansett, men er fornøyd med at det er beskrevet godt i issue her - det tas inn i våre personverndocs, er en teknikalitet som vi bare må ha dokumentert. |
Beskrivelse
Autorisasjonsløsningen i Altinn 3 støtter i dag ikke autorisasjon av brukere uten at disse har vært pålogget i Altinn 2 minst en gang og dermed fått en Altinn 2 brukerprofil (og dermed en userId). Dette pga. fortsatt sterke koblinger til Altinn 2 for henting av avgiverliste og forhold bruker har via roller i Enhetsregisteret.
Dette betyr blant annet at brukere som logger på via ID-Porten eller Ansattporten direkte i Altinn 3 eller eksterne sluttbrukersystemer som integrerer mot API i Altinn 3 platformen vil ikke autorisasjonsløsningen kunne autorisere brukerne.
Tilsvarende vil ikke tjenesteeiersystem som integrerer mot Altinn 3 API kunne hente avgiverliste, tilganger eller få svar på om bruker har tilgang i eksternt PDP autorisasjons API for disse brukerne.
Tilsvarende kan man heller ikke få utført delegering av enkelttilganger i Altinn 3 til brukere uten brukerprofil.
Til sammen betyr dette at disse ikke kan få tilganger til:
-- Inkl. gjennom brukerstyrt instansdelegering
Statistikk
I Altinn 2 sin lokale kopi av FREG i produksjon finnes det pr. i dag:
3 952 497innleste personer uten brukerprofil, som ikke er test brukere og fortsatt er i live.
Avklaringsbehov
Vi trenger en avgjørelse på om denne begrensningen er ønskelig å videreføre til Altinn 3.
Både for mens vi nå er i en overgangsløsning, men også i etterkant når Altinn 2 slås av.
Forslag på løsning
Core teamet jobber for tiden med migrering av brukerprofil fra Altinn 2 til Altinn 3.
Tilgangsinfo teamet jobber for tiden med migrering av register fra Altinn 2 til Altinn 3.
Det anbefales at en besluttning her tas hurtig for å kunne tas høyde for i dette arbeidet.
Løsning 1: Auto-opprettelse av brukerprofil i Altinn 2
Enkleste løsning for å komme rundt problemstillingen uten større omskrivninger i både Altinn 2 og Altinn 3 er å auto-opprette brukerprofil i Altinn 2 for alle personer som i dag mangler dette + auto-opprettelse av brukerprofil etter hvert som nye brukere kommer inn fra FREG/ER.
Fordeler:
Ulemper:
Løsning 2: Auto-opprettelse av brukerprofil i Altinn 2 ved behov i Altinn 3
En alternativ løsning kunne være å bare auto-opprette brukerprofil i Altinn 2, ved første autorisasjonskall for autorisasjon av bruker uten profil (Internt PDP Decision API eller eksternt PDP Authorize API).
Fordeler:
Ulemper:
Løsning post-Altinn 2
Når ny FREG/ER mottak settes opp i Altinn 3 må denne eie opprettelsen av nødvendige indentifikatorer (userId) og evt. brukerprofil i ny profil løsning.
The text was updated successfully, but these errors were encountered: