Principper for sikkerhed (Adgang og filtrering)
- Rolf Marcher Arndt
- Kasper Birkelund Larsen (Unlicensed)
Adgang og filtrering
I services og servicemetoder der benytter sig af DFDG Foundation, er der idag et mønster for adgang, ud over dette mønster, er der et mønster for filtrering ved benyttelse af Filterable.
Filterable er ikke idag en del af DFDG Foundation men er et mønster der ønskes udbredes til de resterende projekter efter behov. Se desuden https://starwiki.atlassian.net/wiki/spaces/CITY/pages/2739666965 .
I nedenstående vises de mønstre som der idag bliver behandlet.
Adgang service/servicemetode adgang via AmpAdmin2
I AmpAdmin2 er der mulighed for på et certifikat, uagtet om det er et medarbejdercertifikat eller et funktions certifikat, at tildele rolle(r) samt rettighed / nægte rettighed på services/servicemetoder, dette er første niveau af adgang som en kalder skal igennem for at kalde en servicemetode succesfuldt for services der benytter DFDG Foundation.
Vist i nedenstående figur:
Adgang service/servicemetode adgang via sikkerhedsattributter
Hvis kalder af en servicemetode er kommet igennem første adgangs tjek, Adgang service/servicemetode adgang via AmpAdmin2, vil der blive fortaget endnu et adgangs tjek, hvor tjek af sikkerhedsattributter som er dekoreret på servicemetoderne vil blive tjekket.
Disse sikkerhedsattributter vurderer, om den kaldende organisationer må få adgang til servicemetoden samt om den kaldende organisationer har adgang til at kalde for den/de angivne borgere.
Vist i nedenstående figur:
Nedenstående beskrives, hvorledes sikkerhedsattributterne virker.
Generelt
AllowAccessToAll
Giver adgang til alle organisationer som der af afsnittet, Adgang service/servicemetode adgang via AmpAdmin2, er kommet igennem.
Generelt tjek (uagtet organisation)
Hvis organisationen har lov til at kalde (At der er en sikkerhedsattribut på servicemetode for organisationen)
Der ikke er CPR nummer i request, vil kalder kunne kalde servicemetoden uagtet om den er sat til egne/ alle borgere.
Giver adgang
Kommune
Hvis Egne borgere er markeret som sikkerhedsattribut for Kommune tjekkes samtlige forekomster af PersonCivilRegistrationIdentifier i request, skal tilhøre den kaldende Kommune,
Dette gøres via CprAuthority.
Gæsteadgang for Kommune i kombination med, Kommune Alle borgere skal ikke sættes, da Kommune i dette tilfælde i forvejen har lov til at kalde alle borgere.
JobCenter
Hvis Egne borgere er markeret som sikkerhedsattribut for JobCenter tjekkes samtlige forekomster af PersonCivilRegistrationIdentifier i request, skal tilhøre det kaldende JobCenter,
Dette gøres via CprAuthority.
Gæsteadgang for JobCenter i kombination med, JobCenter Alle borgere skal ikke sættes, da JobCenter i dette tilfælde i forvejen, har lov til at kalde alle borgere.
Anden Aktør
Anden Aktør er kun implementeret for JobCenter.
Anden Aktør kræver, at en af følgende sikkerhedsattributter for JobCenter er dekoreret på servicemetoden:
Alle borgere
Egne borgere
Anden Aktør kald, forespørges med CVR på Anden Aktør som kaldende organisation med angivelse af jobcenteret, som der handles få vejene af.
Der vil derefter tjekkes op på, hvorvidt der er en åben henvisning til Anden Aktør fra det pågældende JobCenter, hvor henvisningen ikke er blevet lukket (IsCanceled = 1)
Giver adgang
Anden Aktør kan af ovenstående bullit, ikke komme med i spejlings projektet, da samme kaldemønster bliver benyttet til at bestemme sagsbehandlerlogin på Jobnet.
Anden Aktør henvisning gælder per default 14 dage før henvisning startdato og 30 dage efter slutdato, hvor henvisningen ikke er blevet lukket (IsCanceled = 1)
Default dagene kan dog undtagelsesvis ændres per servicemetode. Dette gøres eksempelvis på UnemplomentEnrollment, som først kan kaldes på henvisnings startdato for Anden Aktør.
Anden Aktør - gæsteadgang, hvis Anden Aktør har gæsteadgang, behøver Anden Aktør ikke også have en henvisning, dog skal AA have en henvisning for at oprette gæsteadgangen og henvisningen gælder i 24 timer, så.
A-kasse
Hvis Egne borgere er markeret som sikkerhedsattribut for A-kasse
Tjekkes samtlige forekomster af PersonCivilRegistrationIdentifier i request, skal tilhøre den kaldende A-kasse,
Dette gøres via tabellen UnemploymentFundMembership.
Hvis Tidligere egne borgere er markeret som sikkerhedsattribut for A-kasse
Tjekkes samtlige forekomster af PersonCivilRegistrationIdentifier i request, skal have været medlem af den kaldende A-kasse inden for de seneste 120 dage som default.
Default dagene for seneste medlemskab, kan dog undtagelsesvis ændres per servicemetode.
Dette gøres via tabellerne UnemploymentFundMembership og UnemploymentFundMembershipHistory.
Hvis Gæsteadgang for A-kasse
Kræves sikkerhedsattributten Egne borgere på servicemetoden.
Gæsteadgang for A-kasse i kombination med, A-kasse Alle borgere skal ikke sættes, da A-kasse i dette tilfælde i forvejen, har lov til at kalde alle borgere.
Alle andre organisationer end de tidligere beskrevene
Tjekkes at der er en adgangsattribut for organisationen.
Giver adgang
Farve forklaring
Bør ikke sættes |
Hvis Gæsteadgang sættes skal Egne borgere også sættes. |
XxXx Anden organisation end de typiske. |
Ovenstående sikkerhedsattributter bliver automatisk vist som nedenstående matrice, ved benyttelse af CodeFirst services med nye sikkerhedsattributter
Tilladte organisationer
Alle borgere | Egne borgere | Tidligere egne borgere | Gæsteadgang | Anden Aktør - egne borgere | Anden Aktør - gæsteadgang | |
|---|---|---|---|---|---|---|
A-kasse | ||||||
JobCenter | ||||||
Kommune | ||||||
STAR | ||||||
XxXx |