Tekniske flyter
De viktigste flytene på tvers av komponentene i Altinn Autorisasjon.
Flytene viser ansvarsovergangene mellom komponenter. Detaljerte API-kontrakter og integrasjonstrinn dokumenteres i API- og veiledningsseksjonene.
Interaktiv autentisering
- En nettleser starter innlogging hos Authentication.
- Authentication videresender identitetskontrollen til en konfigurert identitetsleverandør, typisk ID-porten.
- Etter vellykket innlogging etablerer Authentication sesjon og identitetskontekst.
- Tjenesten bruker konteksten ved senere autorisasjonskontroll.
Tokenutveksling for maskin-til-maskin
- En klient presenterer et token fra en betrodd utsteder, typisk Maskinporten.
- Authentication validerer utsteder, signatur, målgruppe, levetid og relevante claims.
- Ekstern identitet og representasjon oversettes til Altinns identitetskontekst.
- Altinn Access Token inngår i flyten som en plattformavhengighet eid av Team Platform.
Autorisasjonsbeslutning
- PEP bygger eller videresender en beslutningsforespørsel med subjekt, ressurs, handling og kontekst.
- Authorization kompletterer konteksten med parts-, rolle- og ressursinformasjon når det er nødvendig.
- Relevant policy og delegerte rettigheter hentes.
- PDP evaluerer forespørselen og returnerer en beslutning.
- PEP håndhever beslutningen. PDP utfører ikke den beskyttede handlingen.
- Sikkerhetsrelevante hendelser kan sendes til Audit Log.
Administrasjon av rettigheter
- Brukerflaten eller en autorisert klient kaller Access Management.
- Tjenesten validerer hvem som kan administrere rettigheten for den aktuelle parten og ressursen.
- Tilgangsrelasjonen lagres og gjøres tilgjengelig i lesemodeller.
- En senere PDP-forespørsel bruker denne relasjonen som del av beslutningsgrunnlaget.
Systembruker
Systembruker binder et registrert leverandørsystem til en kundevirksomhet og et avgrenset sett rettigheter. Opprettelsesflyten og runtime-flyten er forskjellige: først etableres og godkjennes relasjonen; deretter kan et Maskinporten-autentisert system opptre på vegne av kunden innenfor de delegerte rettighetene.
Samtykke
Samtykke bruker ressursdefinisjoner og metadata fra Resource Registry. Et samtykke etablerer en formåls- og ofte tidsavgrenset fullmakt. Ved validering må identitet, avgiver, mottaker, ressurs, handling, formål og gyldighet ses i sammenheng.