Maskinporten - styrker digital samhandling «Data-driven innovation is a key enabler of growth and jobs in Europe» European Commission Digital Single Market
Gårsdagen Full kontroll på egen verdikjede Manuell håndtering av virksomhetssertifikat per tjeneste
Konsument av informasjon Tilbyder av informasjon Morgendagen Verdikjeder bygd opp av tjenester fra flere aktører Felles tillit infrastruktur som skalerer
Maskinporten effektiviserer data-deling Virksomhetsautentisering Grovkornet tilgangstyring Sjølvbetjening og automatisering Foto: Colourbox
Høg sikkerheit gjennom internasjonale standarder 4th OAuth Security Workshop 2019 Stuttgart/Germany
Høg tillit gjennom vel-etablert marked for tillitstjenester Personsertifikat Leverandør av tillitstjenester Virksomhetsertifikat Krav til leverandør av tillitstjenester: Søknad og registrering Identitetskontroll Utstedelse, utlevering og aktivering Tilbakekalling, og eventuelt suspensjon og reaktivering Sertifikatfremstillingssystemet Ledelse og organisering av e-idtjenesten Revisjon og kontroll Autorative register
Høg effektivisering gjennom sjølvbetjening Web-basert sjølvbetjening for alle Full-automatisering for de med store behov Eksterne delegering for de som bruker leverandør
Oauth2 eksempler på bruk Jørgen Binningsbø 2019-06-25
Klassisk Oauth2 grunnflyt og aktører Autorisasjonserver Samtykker.. access_token GET /noe Bruker (resource owner) Tjeneste/ konsument (client) API (resource server)
API for innrapportering av periodisk kjøretøykontroll Pseudonymisert access_token Hent fødselsnummer POST /regnr Mekaniker Verkstedsystem (client) API for PKK (resource server)
HelseID føderering og berikelse via Token Exchange HelseID Helsepersonell-register Helsepersonell Fagsystem Sentrale helse-api
eoppslag: nasjonal referansearkitektur: Standardtilfelle med konsument og tilbyder Access_token Konsument Avtalepart m/ API-tilbyder Modernisert folkeregister
eoppslag: nasjonal referansearkitektur: Videredelegering av API-tilgang i Altinn Altinn (delegeringskilde) Kontrollerer Access_token med begge aktører bruker Konsument Avtalepart m/ API-tilbyder Leverandør Typisk skytjeneste Modernisert folkeregister
DSOP kontroll: Skatt pålegger bankene å tilby kontoopplysninger aud -begrensa access_token Hindre token replay bank3 bank2 bank1 Skatteetaten (client) Konto API, Ett hos hver bank
Opprinnelig tillitsmodell Brukeren i sentrum
Mot en distribuert tillitsmodell I Oauth «der ute», er brukeren i sentrum: Velger å stole på tjenester og APIer som seg imellom har lav gjensidig tillit I offentlig sektor stoler vi ikke på brukeren og innfører en «hub» Å ha én autorisasjonsserver for alle offentlige API skalerer ikke Sannsynligvis heller ikke innad i en sektor Er allerede flere sektor-spesifikke tillitsanker i dag => Må akseptere å stole på konsumenter du ikke kjenner Hvordan regulere tillit mellom multiple IDPer, ASer og STSer? og etablere den run-time?
2: Autentiseringsnær autorisasjon tilgang Autorative kilder Autentiserer seg access_token Token-berikelse /get Bruker Tjeneste (client) API (resource server)