Instansdelegering | API for hente eksisterende instansdelegeringer fra Apps

[jonkjetiloye]

Beskrivelse

Vi skal lage en integrasjon for studio-apps hvor de skal kunne hente instans delegeringer gjort på en gitt instans, på vegne instanseier. En autorisert bruker på vegne av instanseier (kan være brukeren selv eller en organisasjon) må kunne hente informasjon om aktive instansdelegeringer for å se status på disse.
Det er appen som fra egen backend vil kalle API for å hente aktive instansdelegeringer.

Denne featuren vil opprette egen database query og core service implementasjoner for henting av instansdelegering som senere også skal understøtte BFF API for #668

Definisjoner

Instans - et eksemplar av en app/ressurs/tjeneste
Instans ID - identifikator for en gitt instans av en app/ressurs/tjeneste
Instans-eier - part som er eier av en gitt instans av en app/ressurs/tjeneste. Kan være både en bruker eller en organisasjon.
Applikasjonsflyt - del av prosessen å fylle ut eller utføre handlinger i en app instans. Typisk: fylle ut skjema, signere og sende inn skjema.

Avklaringer

743-Avkl-1: Hvordan autorisere App fra PlatformAccessToken for hva den for lov til å hente av instanstilganger?
For delegering kreves det at Xacml policy for appen instansen er knytt til, er satt opp med regel hvor subject matcher autentisert app gjennom PlatformAccessToken, og tilgangen som forsøkes delegert.
Men hva hvordan autentisere hva appen har lov å hente ut av instanser?

1. Er det bare Appen som instansen er knytt til som skal få lov til å hente?
2. Skal autentisert app kunne hente bare delegeringer som appen selv har gjort delegering av?
3. Skal autentisert app få hente alle tilganger som den selv har tilgang til å delegere? Selv om det er delegert av en annen App eller etter hvert sluttbrukere utenfor "brukerstyrt instansdelegering"?

Akseptansekriterier

• Det skal være mulig å hente aktive instans delegeringer til og fra både personer og organisasjoner
• Autentisert bruker token fra app må følge med i API kall slik at vi kan logge info om utførende bruker
• App som utfører henter delegeringer må være autorisert til å hente delegering av reglene.

GITT en pålogget autorisert bruker benytter en instans av en Altinn App med brukerstyrt instansdelegering
NÅR brukeren tidligere har utført brukerstyrt delegering av instans tilgang
SÅ skal appen kunne bruke API i access-management for å hente og vise aktive instansdelegeringer

API Design forslag

https://app.swaggerhub.com/apis/jon.kjetil.oye/AccessManagementInstanceDelegation/1.0

Arkitektur tegning

Oppgaver

Trusselmodellering

Preview Give feedback

1. Åpner denne endringen for mulige nye trusler eller misbruk?

Backend

Preview Give feedback

1. API for å hente eksisterende instansdelegeringer fra Apps #839
   task +1
   

Dokumentasjon

Preview Give feedback

1. Apps API for instansdelegering skilles ut i egen swagger doc

Test

Preview Give feedback

1. Via GET/accessmanagement/api/v1/apps/instancedelegation/{resourceId}/{resourceInstanceId}- Verifisere at vi får en lista med instans delegeringer som er gjort på en gitt instans