Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Helhetlig tilgangsstyring

Altinn som komplett autorisasjonsløsning for offentlig sektor

Altinn har tilgang til Enhetsregisteret og Folkeregisteret, og har bygget en unik autorisasjonsmodell med basis i roller og rettigheter i norske virksomheter. Rettigheter til tilgang og bruk av offentlige data er hjemlet i ulike lovverk og kjennskapen til dem er spredd på ulike institusjoner. Ved å inkludere autorisasjonsoversikt fra flere kilder vil Altinn kunne tilby både private og offentlige virksomheter en samlet oversikt over autorisasjonstilganger på tvers av mange ulike autorisasjonskilder og dermed være et nav for autorisasjon for det offentlige Norge.

Oppdatering av Altinns autorisasjonskopi av grunndataregistre skjer i dag hovedsakelig en gang hvert døgn. Dette gjør at nyregistreringer og endringer får en forsinkelse fra de blir oppdatert i registrene og til endringen er registrert i Altinn.  Det er viktig at endringer i grunndataregistre som kan påvirke brukeres tilganger til digitale tjenester blir registrert så raskt som mulig i Altinn for å unngå misbruk og potensiell feilautorisert tilgang til sensitiv informasjon. Altinn må derfor videreutvikles med sanntidstilgang til grunndataregistre, og flere grunndataregistre må knyttes til løsningen.

Forbedret autorisasjonsfunksjonalitet

Det er flere aspekter ved dagens autorisasjonsløsning i Altinn som hindrer at ulike bruksscenarier kan utføres, og at behovene for autorisasjon, tilgangsstyring og tilgangskontroll ikke er dekket fullt ut. For å unngå unødig tidsbruk skal det bli enklere å be om å få tildelt en rolle eller rettighet i Altinn fra en overordnet ansatt med slik myndighet. Forespørsler om å få tilgang til en digital tjeneste, vil effektivisere tilgangsstyringen i stor grad, og skal innføres som en sentral del av løsningen for tilgangsstyring.

...

Altinn APIer for autorisasjon og tilgangskontroll har på noen områder begrenset funksjonalitet. For at Altinn autorisasjon fullt ut skal dekke behovene må APIene videreutvikles og standardiseres.

Samtykke

Autorisasjonstiltaket Samtykke benytter Altinns modell for autorisasjon som grunnlag. Samtykke er noe en sluttbruker gir andre, enten midlertidig innenfor et gitt tidsrom, eller et antall ganger, eller permanent. Samtykke er en fleksibel måte å samhandle på, siden det kan være hendelsesstyrt og tidsbegrenset.  Det forenkler manuelle prosesser der en tredjepart gis tilgang til en gitt type informasjon eller tjeneste fra en sluttbruker. Informasjonsdelingen skjer i dag i stor grad papirbasert. Samtykke er kort sagt samhandling på brukerens premisser.

Samtykkefunksjonaliteten, slik den er realisert i dag, er en absolutt minimumsløsning som krever videreutvikling for at løsningen skal kunne utnyttes fullt ut og oppnå tillit fra tjenesteeiere og sluttbrukere. Det skal bli mulig å samtykke til deling av data i brukerens meldingsboks, gi forhåndssamtykker og engangssamtykker. Brukere skal kunne forespørre andre parter om å få et samtykke.

Oversikt over data som deles

En viktig faktor da samtykkebasert lånesøknad ble realisert var at Skatteetaten allerede jobbet med å opprette APIer for deling av dine data med sine partnere (for eksempel NAV). Denne delingen var hjemlet i lovverk. Finansnæringen hadde ingen slik hjemmel, men fikk tilgang til de samme APIene med et samtykke. Det finnes mange slike APIer fra flere offentlige aktører, og deling av brukerens data vil altså skje på flere grunnlag.

...