Mandat HELT - Helhetlig tilgangsstyring

1. Bakgrunn og behov  

Helhetlig tilgangsstyring omfatter etablering av en felles oversikt over hvem som har tillatelse til å bruke hvilke data til hvilke formål, funksjonalitet for å administrere delegering av tilgang og brukerstyrt samtykke, samt oversikt over hvem som har brukt hvilke data til hvilke formål og mulighet for innsyn i denne. Helhetlig tilgangsstyring og effektiv tilgang til tilgjengelige datasett, både offentlige og private, er forutsetninger for tverrsektoriell samhandling, innovasjon og helhetlige offentlige sluttbrukertjenester. Bl.a. er det ønskelig at det kun skal være nødvendig å levere den samme informasjon til det offentlige én gang, og at forvaltningen gjenbruker informasjon som forvaltningen allerede har (i f.eks. sluttbrukertjenester) uavhengig av hvilken kilde som holder informasjonen. Tilgang er i hovedsak styrt av regelverk, men tilgang kan også delegeres eller gis via fullmakter eller samtykke til deling av egen informasjon.

Altinns infrastruktur omfatter en autorisasjonskomponent som ivaretar tilgangsstyring og tilgangskontroll. Det er ønskelig at denne komponenten skal kunne benyttes som en selvstendig nasjonal felleskomponent og slik redusere offentlige etater og virksomheters behov for å lage egne autorisasjonsløsninger. Dette medfører behov for en skalerbar autorisasjonsløsning som ivaretar flere brukergruppers (etaters og virksomheters) behov enn det som støttes av dagens autorisasjonskomponent. Videre skal løsningen legge til rette for å ivareta mer langsiktige (fremtidige) behov for autorisasjon, bl.a. ved å sikre god endringsevne. Autorisasjonsløsningen skal i hovedsak støtte behov ifbm. tjenester fra det offentlige, men den skal også kunne benyttes for tjenester virksomheter imellom. 

Referanser 

2. Mål, hovedinnhold og resultater

Mål

Prosjektets hovedmål er at autorisasjonsløsningen skal kunne fungere som et nav for autorisasjon, og den skal være enkel å ta i bruk for virksomheter og innbyggere. Funksjonelle og tekniske behov til autorisasjon i offentlige tjenester skal ivaretas, og Altinns autorisasjonsløsningskal også muliggjøre autorisasjon i tjenester virksomheter imellom. Autorisasjonsløsningen skal kunne benytte eksisterende og nye autorisasjonskilder for å gi riktig tilgang til riktig tid til offentlige og private data. Den skal være skalerbar, med god endringsevne, og oppdateringer skal skje i sanntid ved at oppdateringer i en autorisasjonskilde umiddelbart skal speiles i autorisasjonskomponenten. Videre skal den være tilpasset Altinns totale arkitektur, samt kunne fungere som en selvstendig autorisasjonsløsning/felleskomponent.

Områdene som spesielt skal forbedres i forhold til dagens løsning er:

  • Bruk av nye autorisasjonskilder og forbedret bruk av eksisterende kilder
  • Administrasjon av tilganger og delegering av rettigheter
  • Funksjonalitet for fullmakt og samtykke
  • Forankring i brukerbehov, noe som igjen skal legge til rette for økt bruk av autorisasjonskomponenten
  • Teknisk kvalitet og tilpasning til fremtidig arkitektur for Altinn
  • Sikkerhet

Prosjektet skal ta utgangspunkt dagens autorisasjonsløsning og i de forbedringsbehovene som er avdekket i forhold til den og raskt og kontinuerlig levere verdi for Altinn ved å jevnlig levere brukerhistorier til utvikling i prosjektperioden. Prosjektet skal spesielt bidra til at prosjektene Tjenester 3.0, FuFinn, KoFuVi og eOppslag når sine mål.

Målgrupper for løsningen er

  • Det offentlige med nåværende og mulige fremtidige tjenesteeiere
  • Næringsliv (virksomheter) og innbyggere som bruker og kan bruke Altinn
  • Interne prosjekter og tiltak i Altinn

Hovedinnhold

  • Etablere oversikt over dagens autorisasjonsløsning, inkl. bruk av løsningen, for å
    • forstå bruken av løsningen
    • sikre at ny løsning ivaretar egenskaper fra dagens autorisasjonskomponent
    • legge til rette for at det blir enklere for nye etater og virksomheter å ta i bruk autorisasjonsløsningen
  • Beskrive brukergrupper og deres behov og bruksmønstre i en fremtidig autorisasjonsløsning
  • Realisere identifiserte og prioriterte forbedringer av dagens løsning ved å levere brukerhistorier (på riktig form) til utvikling
  • Samarbeide med andre prosjekter for å understøtte deres/felles mål, med spesielt fokus på Tjenester 3.0 og FuFinn.

Resultater 

  • Beskrivelse av fremtidig bruk av autorisasjonsløsningen med brukergrupper og deres bruksmønstre.
  • Roadmap for arbeidet med å realisere konseptet og videre-, evnt. nyutvikle autorisasjonskomponenten
  • Brukerhistorier som forbedrer autorisasjonsløsningen
  • Innspill til tiltak for andre initiativer i Altinn som vil bidra til forbedret, helhetlig tilgangsstyring
  • Bidrag til fremtidig arkitektur for Altinn

Forutsetninger

  • Tverrsektorielt samarbeid om nye fellestjenester som spesielt kan nyttiggjøre seg en ny autorisasjonskomponent
  • Juridisk grunnlag for tilgang til flere og utvidede autorisasjonskilder
  • Felles oversikt over tilgjengelige datasett og API'er mot disse (Felles datakatalog, API-katalog)
  • Samarbeid med Maskinporten