Den tänkta arkitekturen för behörighetskontroll för våra tjänster ska säkerställa att endast rätt användare med rätt roll har åtkomst till viss information. Då vi har begränsningar i dagens uppsättning av API Gateway (WSO2) och exempelvis saknar Identity Server behöver den här funktionaliteten tillämpas annorstädes för att bli mer finkorning. Idag finns OAuth2-autentisering på applikationsnivå (subscriptions för en tjänst) och det kan räcka till i de flesta fall, men för vissa tjänster behövs utöver detta som sagt en bättre upplösning. Detta gäller i första hand de tjänster som hanterar olika typer av ärenden i kommunens digitala plattform.
I frontends för digitala kanaler finns möjlighet till autentisering på personnivå via kommunens AD. Information om personen ska kunna skickas vidare in till respektive mikrotjänst för autentisering mot AD även där, detta eftersom AD:t avser innehålla all information som behövs för att underlätta administration etc.
I AD ska korrelationen mellan roller (AD-grupp eller motsvarande) och ärendetyper vara uppsatt. Detta är ambitionen. I en övergångsfas kan det vara okej att hantera den biten i ett eget registry.
Önskvärt är att sätta upp detta som funktionalitet, en standardlösning, i det gemensamma ramverket för mikrotjänster, Dept44, som kan användas varhelst behovet av en mer finkornig behörighetshantering finns, helst genom enkel annotering eller motsvarande. Ingångsvärden ska vara användarinformation och aktuell ärendetyp.
Överföring av användarinformation mellan frontend och backend ska göras säkert för att förhindra obehörig injektion och liknande. Förslagsvis i form av en JWT.
Fyll på nedan för mer detaljerad lösning:
A
B
C