You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Per i dag støtter Altinn Autorisasjon token fra ID-porten og Maskinporten. Det er ønskelig at Altinn Autorisasjon også støtter token utstedt av Ansattporten, slik at tjenester som bruker Ansattporten for innlogging på vegne av virksomhet kan kalle Autorisasjon-APIet direkte.
Forventet resultat
Tjenester kan bruke Ansattporten access_token mot Altinn Autorisasjon API. Altinn Autorisasjon validerer token fra Ansattporten (ny issuer-verdi) og tolker authorization_details-claimet med representasjonsforhold.
Hvordan skal det fungere?
Ansattporten er en selvstendig OAuth2/OIDC-autorisasjonsserver med egen issuer, adskilt fra ID-porten. Token inneholder et authorization_details-claim (Rich Authorization Requests) med representasjonsforhold, f.eks. hvilken organisasjon brukeren handler på vegne av og hvilke Altinn-ressurser vedkommende har tilgang til.
sequenceDiagram
participant Bruker
participant Klient as Tjeneste (klient)
participant AP as Ansattporten
participant AA as Altinn Autorisasjon
Bruker->>Klient: Åpner tjeneste
Klient->>AP: /authorize med authorization_details<br/>(type: ansattporten:altinn:resource)
AP->>Bruker: Autentiser med eID
Bruker-->>AP: Fullfører innlogging
AP->>AA: Hent representasjonsforhold for bruker
AA-->>AP: Liste over organisasjoner bruker kan representere
AP->>Bruker: Velg organisasjon
Bruker-->>AP: Velger org
AP-->>Klient: access_token med authorization_details<br/>(authorized_parties: [{orgno, resource, actions}])
Klient->>AA: API-kall med Bearer access_token
AA->>AA: Valider token (issuer=Ansattporten,<br/>authorization_details, actions)
AA-->>Klient: Autorisert svar
Loading
Altinn Autorisasjon må:
Akseptere Ansattporten som gyldig issuer (ny JWKS-endepunkt)
Validere authorization_details-claimet og utlede tilgang fra authorized_parties
Overordnet beskrivelse
Per i dag støtter Altinn Autorisasjon token fra ID-porten og Maskinporten. Det er ønskelig at Altinn Autorisasjon også støtter token utstedt av Ansattporten, slik at tjenester som bruker Ansattporten for innlogging på vegne av virksomhet kan kalle Autorisasjon-APIet direkte.
Forventet resultat
Tjenester kan bruke Ansattporten access_token mot Altinn Autorisasjon API. Altinn Autorisasjon validerer token fra Ansattporten (ny
issuer-verdi) og tolkerauthorization_details-claimet med representasjonsforhold.Hvordan skal det fungere?
Ansattporten er en selvstendig OAuth2/OIDC-autorisasjonsserver med egen
issuer, adskilt fra ID-porten. Token inneholder etauthorization_details-claim (Rich Authorization Requests) med representasjonsforhold, f.eks. hvilken organisasjon brukeren handler på vegne av og hvilke Altinn-ressurser vedkommende har tilgang til.sequenceDiagram participant Bruker participant Klient as Tjeneste (klient) participant AP as Ansattporten participant AA as Altinn Autorisasjon Bruker->>Klient: Åpner tjeneste Klient->>AP: /authorize med authorization_details<br/>(type: ansattporten:altinn:resource) AP->>Bruker: Autentiser med eID Bruker-->>AP: Fullfører innlogging AP->>AA: Hent representasjonsforhold for bruker AA-->>AP: Liste over organisasjoner bruker kan representere AP->>Bruker: Velg organisasjon Bruker-->>AP: Velger org AP-->>Klient: access_token med authorization_details<br/>(authorized_parties: [{orgno, resource, actions}]) Klient->>AA: API-kall med Bearer access_token AA->>AA: Valider token (issuer=Ansattporten,<br/>authorization_details, actions) AA-->>Klient: Autorisert svarAltinn Autorisasjon må:
issuer(ny JWKS-endepunkt)authorization_details-claimet og utlede tilgang fraauthorized_partiesGjennomføring
Avhengigheter
Oppgaver