Virksomhetsbroen

Virksomhetsbroen er grensesnittet hvor arbeidsgivere kan konfigurere hvilke brukere som kan representere virksomheten der EntraID benyttes til innlogging i Ansattporten. Virksomhetsbroen skal legge til rette for beste praksis for rollebasert tilgangstyring (RBAC) på tvers av virksomheter ved at:

• tjenesteeiere slipper å opprette og forvalte gjestebrukere i egen IAM-løsning
• arbeidsgivere bruker sin lokale IAM til administrere tilganger mot eksterne tjenester

Virksomhetsbroen er en av flere autoritative kilder for representasjon i Ansattporten, og er tiltenkt scenarioer der det ikke er behov for det høye sikkerhetsnivået som tilbys ved bruk av Altinn Autorisasjon.

• Funksjonell modell
• Tjenestespesifikke rettigheter
• Hvordan administere Virksomhetsbroen ?
• Innlogging
• Konfigurasjon
• Filtertyper
  • Tillat alle (Tillatt for alle tjenester)
  • Tillat kun (Tillatt for bare angitte tjenester)
  • Tillat alle utenom (Tillat for alle tjenester utenom X)
• Eksempler på konfigurasjon
  • Tillate representasjon (e-postadresse)
  • Tillate representasjon på spesifikk klient (e-postadresse)
  • Tillate representasjon på alle klienter utenom X (e-postadresse)
  • Tillate representasjon (domene)
  • Tillate representasjon kun på spesifikk klient (domene)
  • Tillate representasjon på alle klienter utenom X (domene)
  • Tillate representasjon (gruppe)
  • Tillate representasjon på spesifikk klient (gruppe)
  • Tillate representasjon på alle klienter utenom X (gruppe)
• Relevante spørsmål
  • Kan brukere fra virksomheten min logge inn på alle tjenester i Ansattporten med EntraID?
  • Jeg jobber i en virksomhet med flere underenheter, kan jeg tilgangsstyre hver enkelt underenhet?
  • Hvordan vet jeg hvilken klientID jeg skal legge inn i konfigurasjonen?

Funksjonell modell

Virksomhetsbroen har en “additiv” modell for representasjon. Arbeidsgiver legger inn enn en eller flere regler (filter) som gir tilganger for representasjon. Reglene gir tilgang basert på ulike identifikator-typer som epost-domene, entra-grupper eller invidivudelle epost-adresser, og tilgangene kan gis til alle tjenester, eller til utvalgte tjenester.

Det er viktig å være klar over at dersom en bruker har fått en tilgang gjennom en spesifikk regel, vil ikke andre regler kunne hindre tilgang.

Tjenestespesifikke rettigheter

En tjenesteeier kan velge å assosiere ulike tjenestespesifikke rettigheter ved en klient som bruker Virksomhetsbroen, for eksempel les eller rapporter.  Dette er fritekstverdier som da gir kontekstuell mening kun inne i tjenesteeiers tjeneste, for eksempel brukt til tilgangstyring inne i tjenesten. Tjenesteeier må i sin dokumentasjon fortelle arbeidsgivere at tjenesten støtter og/eller krever slike tjenestespefikke rettigheter, og hvilke verdier som brukes.

De ordinære filter-reglene i Virksomhetsbroen gir ikke tilgang til tjenestespesifikke rettigheter. I stedet må Arbeidsgiver eksplisitt opprette et “tillat”-filter for denne ene spesifikke klient-id’en, og legge på den spesifikke rettigheten.

Hvordan administere Virksomhetsbroen ?

Den som skal konfigurere dette på vegne av virksomheten må få tildelt rettigheten “Administrere organisasjonstilknytning i Ansattporten” i Altinn. Rettigheten er forhåndstildelt til følgende roller i Enhetsregisteret, men kan delegeres videre:

• Bestyrende reder
• Daglig leder
• Innehaver

Et praktisk tips for å unngå at daglig leder må delegere til alle som skal ha tilgang, er at daglig leder delegerer rettigheten til en person i virksomheten som har rollen “Tilgangsstyrer”. Da vil “Tilgangsstyrer” kunne delegere rettigheten videre til andre i virksomheten.

Innlogging

Konfigurasjonen kan utføres via grafisk grensesnitt, og konfigureres per miljø.

For oppsett i Ansattporten sitt PROD-miljø, benytt virksomhetsbroen.samarbeid.digdir.no.

For oppsett i Ansattporten sitt test-miljø, benytt virksomhetsbroen.test.samarbeid.digdir.no

Har du den korrekte rettigheten for flere virksomheter eller underenheter, så vil du få et valg om hvilken virksomhet eller underenhet du vil representere når du logger inn.

Konfigurasjon

Konfigurasjonen kan skje på forskjellige identifikator-typer.

E-postadresse: Brukes for å la enkelte e-postadresser representere virksomheten i Ansattporten. F.eks ansatt.person@digdir.no

Domene: Brukes for å la brukere kan representere virksomheten på domenenivå. F.eks digdir.no

Gruppe: Brukes for å la brukere representere virksomheten ved hjelp av EntraID-grupper. F.eks ea123b45d-9yt1-iu78-0a0a-99aabbcc999a

Velg hvilken identifikator-type du vil legge til, ved hjelp av fanene.

Filtertyper

Filtertyper brukes for fingranulere konfigurasjonen. Per i dag så finnes det 3 filtertyper.

Tillat alle (Tillatt for alle tjenester)

“Tillat alle” lar brukerne representere virksomheten på alle tjenester i Ansattporten som godtar EntraID.

Tillat kun (Tillatt for bare angitte tjenester)

“Tillat kun”-filteret benyttes for å avgrense hvilke klienter brukeren kan representere virksomheten på i Ansattporten.

Tillat alle utenom (Tillat for alle tjenester utenom X)

“Tillat alle utenom”-filteret brukes for å angi spesifikke klienter der brukeren ikke kan representere virksomheten på. NB! Det må legges inn klientID for at filteret skal ha effekt.

Eksempler på konfigurasjon

Tillate representasjon (e-postadresse)

For å åpne for at enkelte e-postadresser kan representere virksomheten i EntraID, angi e-postadresse og sett filtertype til “Ingen filter”.

I dette eksempelet vil brukeren med e-postadresse ansatt.person@digdir.no kunne representere virksomheten med EntraID i Ansattporten.

Tillate representasjon på spesifikk klient (e-postadresse)

Dersom du vil la en enkelt e-postadresse representere virksomheten på spesifikke klienter, angi e-postadresse, sett filtertype til “Tillat” og angi KlientID i en kommaseparert liste.

I dette eksempelet vil brukeren med e-postadresse ansatt.person@digdir.no kunne representere virksomheten på klientID 9a99e96d-b56c-4f74-a689-f936f71c8819 med EntraID.

Tillate representasjon på alle klienter utenom X (e-postadresse)

Dersom du vil la en enkelt e-postadresse representere virksomheten med noen unntak, angi e-postadresse, sett filtertype til “Nekt” og angi KlientID i en kommaseparert liste.

I dette eksempelet vil brukeren med e-postadresse ansatt.person@digdir.no kunne representere virksomheten på alle klienter utenom 9a99e96d-b56c-4f74-a689-f936f71c8819 med EntraID.

Tillate representasjon (domene)

For å åpne for at alle brukere med et gitt domene kan representere virksomheten, angi domene og sett filtertype til “Ingen filter”.

I dette eksempelet vil alle brukere med digdir.no domene kunne representere virksomheten med EntraID i Ansattporten.

Tillate representasjon kun på spesifikk klient (domene)

Dersom du vil la brukere representere virksomheten på spesifikke klienter,angi domene, sette filtertype til “Tillat” og angi KlientID i en kommaseparert liste.

I dette eksempelet vil brukere med digdir.no domene kunne logge på klientID 9a99e96d-b56c-4f74-a689-f936f71c8819 med EntraID.

Tillate representasjon på alle klienter utenom X (domene)

For å la brukere representere virksomheten på alle tjenester utenom X, angi domene, sett filtertype til “Nekt” og angi KlientID i en kommaseparart liste.

I dette eksempelet vil brukere med digir.no domene kunne bruke EntraID til å representere virksomheten på alle klienter utenom 9a99e96d-b56c-4f74-a689-f936f71c8819.

Tillate representasjon (gruppe)

For å åpne for at alle brukere med i en gitt EntraID-gruppe kan representere virksomheten, angi GUID for gruppen og sett filtertype til “Ingen filter”.

I dette eksempelet vil alle brukere som ligger i gruppen med ID 1111-1111-1111 kunne representere virksomheten med EntraID i Ansattporten.

Tillate representasjon på spesifikk klient (gruppe)

Dersom du vil la brukere i en utvalgt EntraID-gruppe representere virksomheten på spesifikke klienter, angi GUID for gruppen, sett filtertype til “Tillat” og angi KlientID i en kommaseparert liste.

I dette eksempelet vil alle brukere som ligger i gruppen med ID 1111-1111-1111 kunne representere virksomheten på klientID 9a99e96d-b56c-4f74-a689-f936f71c8819 med EntraID.

Tillate representasjon på alle klienter utenom X (gruppe)

Dersom du vil la brukere i en utvalgt EntraID-gruppe representere virksomheten med noen unntak, angi GUID for gruppen, sett filtertype til “Nekt” og angi KlientID i en kommaseparert liste.

I dette eksempelet vil alle brukere som ligger i gruppen med ID 1111-1111-1111 kunne representere virksomheten på alle klienter utenom 9a99e96d-b56c-4f74-a689-f936f71c8819 med EntraID.

Relevante spørsmål

Kan brukere fra virksomheten min logge inn på alle tjenester i Ansattporten med EntraID?

Nei, det er eier av Ansattporten-tjenesten som bestemmer om EntraID kan benyttes til innlogging.

Jeg jobber i en virksomhet med flere underenheter, kan jeg tilgangsstyre hver enkelt underenhet?

Ja, når du logger inn på virksomhetsbroen kan du velge hvilket organisasjonsnummer du vil konfigurere. Vi støtter både hoved- og underenheter.

Per nå må du logge ut og inn igjen dersom du vil bytte organisasjonsnummer.

Hvordan vet jeg hvilken klientID jeg skal legge inn i konfigurasjonen?

Ta kontakt med eier av Ansattporten-tjenesten dersom du skal gi tilgang på klientnivå.