Roadmap Altinn Autorisasjon 2022

Overordnet roadmap for videreutvikling av Altinn Autorisasjon i 2022

Nedenfor finnes en liste over planlagte endringer i 2022.

Oversikten er fortsatt under arbeid og hverken prioritet eller leveranse er endelig bestemt. Backlogg for 2022 bestemmes i desember 2021.

2022 - Høyest prioritet

1 - Begrense OIDC/OAuth2 tilgang via IDporten til angitte aktører (2022)

Status: ikke påbegynt

Altinn tilbyr i dag OIDC/OAuth2-basert autnetisering og autorisasjon for eksterne integrasjoner via ID-porten for endepunkt som krever person-autentisering (se dokumentasjon). Det er behov for å kunne tilby bruker en mulighet til å begrense hvilke aktører denne tilgangen gjelder for .

2 - Nøyaktig og tilrettelagt tilgangsstyring (NØTT) (2022)

Status: Designarbeid påbegynt

Dagens roller i Altinn er forholdsvis store og rommer tilgang til veldig mange tjenester. I tilegg skal Altinn styre tilgang til mange tusen tjenester og ulike steg i disse. Resultate er at dette kan oppleves som forvirrende, overveldende, usikkert og frusterende for enkelte tilgansstyrere. En tilretteleggende og nøyaktig tilgangsstyring kan forenkle arbeidsflyten og vil oppleves som betyrggende for brukeren Dette skal også sikre at man ikke får tilgang til mer enn man strengt tatt trenger.

3 - Integrasjon mot AA registeret (2022)

Status: ikke påbegynt

AA-registeret (arbeidsgiver- og arbeidstakerregisteret) eies og forvaltes av NAV og er et grunndataregister som gir en oversikt over alle arbeidsforhold i Norge med noen få unntak. AA registeret skal tas i bruk som et hjelpemiddel og forenkling av tilgangsstyring i Altinn.

4 - Nytt vergemålsregister inn i Altinn (2023)

Status: Arbeid med å få på plass lovhjemmel er påbegynt

Sivilrettsforvaltningen startet i 2020 et prosjekt “Vergemålsopplysninger integrert i Fullmaktsregister for Innbyggere (FUFINN)”. De vil gjennom dette prosjketet granulerer og kvalitetssikrer vergemål som er registert hos Fylkesmannen i henhold til nye, se omtale av prosjektet under digitaliseringsrådet. Dette vil igjen gjøre det mulig å bruke vergehavers fullmakter og rettighter for å gi automatisert tilgang til relevante tjenester som vergen skal utføre på vegne av sin vergehaver.

Informasjon om granulert vergemål gjøres tilgjengelig gjennom Folkeregisteret, antatt i løpet av 2022. Ettersom informasjon om vergemål hos Folkeregisteret er taushetsbelagt trenger Altinn en lovhjemmel for å få tilgang til dataene. Målsetningen er å ha hjemmel på plass i løpet av 2022 slik at Altinn kan ta i bruk nye vergemålsopplysninger i 2023.

5 - Mulighet til å delegere tidsbegrenset rettighet og rolle (2023)

Status: ikke påbegynt

Det skal innføres en mulighet for bruker å tidsbegrense en rettighet som gis med et utløpstidspunkt (utløpstidpunkt). Denne funksjonalitet finnes i dag for samtykke og fullmkater men ikke for roller og rettigheter til tjenester.

6 - Forenkle og videreutvikle innbyggers oversikt over fullmakter (2023)

Status: ikke påbegynt

Altinn skal tilby biometrisk pålogging og pushvarsel som gir enkel tilgang til “mine fullmakter” og som gir beskjed når noen trenger en fullmakt. Denne appen vil også være tilgjengelige for brukere som opptrer på vegne av virskomheter, men vil være særlig tilpasset virksomheter med forholdvis få brukere. Det er også ønskelig å tilby pushvarsel som en alternativ varslingskanal til varsling på sms og epost

7 - Tilgangsstyring i kunde-leverandør forhold (2022)

Status: Delvis levert. Har fått på plass funksjonalitet for enklere å se hvem en leverandør kan opptre på vegne av og mulighet for å be om rettighet til sine kunder. Det gjenstår fortsatt å få på plass funksjonalitet slik at leverandør enklere kan administrere tilganger til egne ansatte på vegne av sin kunde

Ofte leier personer/virksomheter inn andre virksomheter til å utføre oppgaver for seg som innebærer bruk av tjenester i Altinn, f eks bistand på HR eller regnskapsføring.

I dagens Altinn delegerer en rettighet/rolle til Leverandørens organisasjonsnummer og nøkkelrolleinnehaver hos leverandør (eks daglig leder). Ofte er det andre ansatte enn daglig leder hos Leverandør som faktisk skal utføre oppgaven for kunden. Det er ingen enkel og oversiktlig måte å kunne delegere dette videre til egne ansatte for Leverandøren. I tillegg er det krevende å følge opp når ansatte hos leverandør skifter jobb.

Det skal etableres en løsning for tilgangstyring mellom Kunde og Leverandør som inkluderer en mer oversiktlig håndtering av tilganger på vegne av kunde. Løsningen vil gjøre det mulig for Leverandør å be Kunde om de tilganger de har behov for. I tillegg skal leverandør kunne administrere disse tilgangene for egne ansatte.

8 - Vise informasjon om rettigheter for altinn-tjenester i skjemakatalogen i Altinn (2022)

Status: ikke påbegynt

For å gjøre det enklere for bruker å se hva vedkommende kan og ikke kan gjøre knyttet til en tjeneste ønsker vi å flytte autorisasjonsinformasjon i den kontekst hvor den trengs. Derfor ønsker vi å vise brukers rettigheter når hun slår opp et tjeneste i skjemakatalogen, se illustrasjon nedenfor.

9 - Gjenstående arbeid etter første integrasjon mot FREG (2022)

Status: ikke påbegynt

(beskrivelse av tiltaket kommer)

Endringer med lavere prioritet

Listen er i utprioritert rekkefølge

Integrasjon mot eHelses fullmaktsdatabase

(beskrivelse av tiltaket kommer)

Forberede flytting av autorisasjon til sky - analyse og muligheter

(beskrivelse av tiltaket kommer)

Mulghet for å “si ifra seg” rettighet til tjeneste som man finner i innboksen

(beskrivelse av tiltaket kommer)

Ta i bruk foreldreansvar som autorisasjonskilde i Altinn (FREG) (2023)

(beskrivelse av tiltaket kommer)

Økt sikkerhet ved delegering

Det skal innføres krav til ekstra pålogging på nivå 4 når en bruker delgerer såkalte “risky role types” til andre. En risky role type vil f eks være tilgangsstyrer og hovedadministrator.

Når fullmakter gis på vegne av en person så skal det sendes et varsel til brukers kontaktinformajson registert hos KRR. Varselet vil informere om at en fullmakt er gitt på brukers vegne med beskjed om å kontakte Altinn hvis dette ikke er greit.

Vise informasjon om rettigheter for ekstern tjeneste i kontekst av tjenesten

(beskrivelse av tiltaket kommer)

Integrasjon mot eHelse for å ta i bruk helsefullmakt for å styre tilgang til tjenester via Altinn Autorisasjon

(beskrivelse av tiltaket kommer)

Ta i bruk API hos Finanstilsynet for å verifisere krav til autorisasjon (regn/revi/andre?)

(beskrivelse av tiltaket kommer)

Tilby avgiverliste for virksomhet via SO-REST

(beskrivelse av tiltaket kommer)

Begrense rettighetsdelegering til tjenester uten for Altinn (lenketjenester) til gitte betingelser

Dagens autorisasjonsmodell legger til rette for følgende betingelser ved delegering av rettigheter til tjenester som ikke ligger i Altinn (dvs lenketjenester):

Bruker får rettighet til en navngitt/beskrevet tjeneste på vegne av en annen virksomhet ellerinnbygger

I enkelte tilfeller er det ønskelig å kunne begrense tilgang til tjenestes til kun å gjelde bestemte tilfeller. Eksempler på dette kan være:

  • en ansvarlig leder skal ha tilgang til tjenester som angår en avtale om tiltaksplasser mellom virksomhet og NAV. Men leder skal kun ha tilgang til dette for “sin” tiltaksansatt og ikke alle andre tiltaksansatte i virksomheten.
  • en virksomhet/innbygger ønsker å gi andre rettighet til å håndtere dialog/tjenester for å søke om midler til et bestemt prosjekt i en søknadsordning. Men de ønsker ikke å gi innsyn i alle andre søknader som er sendt/under søknadsprosess.

Funksjonaliteten vil støtte opp under prinsipp om minimering av tilgang til data for tjenester hvor dette er nødvendig og ønskelig.

For skjema og meldinger som utvikles på Altinn så er dette behovet dekt gjennom funskjonalitet for del og gi tilgang

Gjøre det mulig for Tjenesteeier å utføre delgering fra en ikke digital innbygger til deres fullmaktshaver

Ikke-digitale innbyggere (f eks utenlandsk skattepliktige uten norsk eID) vil gjerne utpeke en norsk representant (regnskapsfører, advokat) til å utføre nødvendige tjenester på sine vegne. Tjenesteeier mottar i disse tilfellene gyldig fullmaktsbekreftelse fra innbygger, men fordi AutorisasjonsAPI kun tillater at bruker selv delegerer egne rettigheter videre så vil ikke dette fullmaktsforholdet la seg registrere digitalt (i Altinn). Resultatet er at denne dialogen da kun kan skje via papirskjema og ordinær post

Ved å tilby delegeringsapi i Altinn for tjenesteeier hvor de under gitte betingelser kan foreta delegering på vegne av innbyggere/virksomheter så vil fullmakter kunne registreres digital og representanten kan få tilgang til digitale tjenester på vegne av sin klient/kunde.

Min kontaktinformasjon for innbyggere

I dag er det mulig å registre “min kontaktinformasjon for virskomheten” i profilen hos en virksomhet. Det innebærer at når f eks virksomheten mottar digital post så vil bruker som har registrert kontaktinformasjon OG har rettighet til å lese posten få varsling om at virksomheten har fått post. Det er ønskelig med tilsvarende funksjonalitet også for innbygger.

Gi utenlandske brukere uten Norsk identitetsnummer (via Idporten-utland og EIDAS) tilgang til Altinn

I dag er det kun mulig å bruke Altinn uten Norsk fødselsnummer som selvregistert bruker i Altinn (SI-bruker). En SI-bruker autentiseres på sikkerhetsnivå 0 og kun et fåtall tjenester er tilgjenglig for disse brukerne. En SI bruker vil ha en profil og innboks, men ikke mulighet til å motta rettigheter for andre eller delegere rettigheter til andre med norsk fødselsnummer eller organisasjonsnummer.

IDporten har gjennom IDporten-utland og eIDAS åpnet for at utenlandske brukere uten Norsk identitetsnummer skal kunne auentiseres gjennom IDporten.

Altinn ønsker å legge til rette for at disse utenlandske brukerne skal få opprettet en bruker i Altinn. Målet er, at i den grad man vurderer at identitetsleverandør kan verifisere hvem bruker er, så kan bruker få utføre tjenester på høyere sikkerhetsnivå enn 0. Det vil være opp til tjenesteeier å definere om en gitt tjeneste skal kunne benyttes av brukere uten norsk identitetsnummer.

Det er ønskelig at utenlandske brukere skal kunne delegere rettigheter til andre brukere med norsk identitets-/organisasjonsnummer slik at de kan få hjelp til å gjennomføre pålagte oppgaver mot det offentlige

Dette tiltaket har sammenheng med SKE sin utredning om en felles identifikator for utenlandske bruker uten dnr.

Integrasjon mot NAVs fullmaktsregister

(beskrivelse av tiltaket kommer)

Ny tjenesteutviklingsløsning for Altinn Autorisasjon. Løsning for å definere/administrere roller, fullmaktstyper og rettigheter

Altinn har i dag en tjenesteutviklingsløsning for å definere både roller fra eksterne autoritative kilder og fullmaktsmaler som skal benyttes. Dagens tjenesteutviklingsløsning oppleves som lite brukervennlig og har høy brukerterskel. Det er ønskelig å kunne registrere nødvendig metadata knyttet til rettigheter og fullmakter Dette skal vil sikre at vi gir innbygger gode brukeropplevelser i form av kategorisering, søk og sortering når man skal få oversikt over alle fullmakter og rettigheter.

For å sikre gode brukeropplevelser, både for tjenesteutvikler hos etaten og i oversikt over fullmakter for innbygger i Altinn utvikles ny tjenesteutviklingsløsning for å definere autorisasjonsressurser (fullmakter). Denne må også tilby løsning for å definere roller (fra eksterne autoritative kilder) som kobles til fullmakter som defineres. Ny tjenesteutviklingsløsning er også en del av arbeidet med å migrere Altinn-løsningen fra 2.0 til 3.0 plattformen.