Sist endret: 15. juli 2026

Komponenter

Ansvar, data og samspill for komponentene i Altinn Autorisasjon.

Komponentgrensene følger faglig ansvar, men er ikke alltid identiske med repo- eller deploy-grenser. Tabellen er startpunktet når en endring skal plasseres eller en feil skal spores.

KomponentAnsvarViktige avhengigheterKilderepo
AuthenticationNettleserinnlogging, sesjon, tokenutveksling og etablering av identitetskontekstID-porten, Maskinporten, UIDP/FEIDE, Altinn Access Tokenaltinn-authentication
RegisterPartsinformasjon, roller og representasjonsforholdFolkeregister-/virksomhets- og rollekilderaltinn-register
Resource RegistryRessursmetadata, policytilknytning, handlinger, tilgangspakker og samtykkegrunnlagPolicy- og administrasjonsflateraltinn-resource-registry
Access ManagementRettigheter, delegeringer, klientrelasjoner og lesemodeller for tilgangRegister, Resource Registry og Authorizationaltinn-authorization-tmp
Access Management UIBrukerflaten og BFF-en til Access ManagementAccess Management API-er og Authenticationaltinn-access-management-frontend
SystembrukerSystemregister, systembrukerforespørsler og kobling mellom system, leverandør og kundeAuthentication, Maskinporten, Access Management og Resource Registryaltinn-authentication
SamtykkeOpprettelse, representasjon og validering av samtykkebaserte fullmakterResource Registry og Access Managementflere autorisasjonskomponenter
Authorization/PDPBygge beslutningskontekst, hente policy og evaluere tilgangRegister, Resource Registry, Access Management og beskyttet tjenestealtinn-authorization-tmp
Audit LogMotta, behandle og lagre autentiserings- og autorisasjonshendelserAuthentication, Authorization, Azure Storage Queue og PostgreSQLaltinn-auth-audit-log

Authentication

Authentication er en OIDC-basert autorisasjonsserver som delegerer identitetskontroll til eksterne identitetsleverandører. Den etablerer Altinn-sesjon for nettleserflyter og utveksler betrodde eksterne tokens til en identitetskontekst resten av plattformen kan bruke. Systembrukerfunksjonaliteten er implementert i samme repo, men representerer et eget faglig produkt.

Register og Resource Registry

Register svarer på hvem og på vegne av hvem. Resource Registry svarer på hva. Dette skillet er grunnleggende i beslutningsmodellen: partsdata beskriver subjekt og representasjon, mens ressursmetadata og policy beskriver objektet og mulige handlinger.

Access Management

Access Management er systemet for å administrere tilgangsrelasjoner. Backend-tjenestene og brukerflaten er ulike deploybare komponenter, men brukerflaten er ikke et eget produkt. PDP bruker relevante rettighetsdata som del av beslutningsgrunnlaget.

Authorization og PDP

Authorization-applikasjonen eksponerer beslutningsfunksjonen. Den mottar subjekt, ressurs, handling og kontekst, kompletterer forespørselen med nødvendig informasjon og evaluerer den mot policy og rettigheter. XACML-modellen brukes for policy og beslutning, med et avgrenset sett funksjoner.

Audit Log

Audit Log mottar hendelser asynkront via kø, prosesserer dem i en Function App og lagrer dem gjennom en containerisert API-tjeneste i PostgreSQL. Komponentens rolle er sporbarhet, revisjon og støtte til feilsøking; den er ikke den primære applikasjonsloggen for hver tjeneste.