Dette er et ekstraordinært referansegruppemøte kun for å diskutere hvordan mer fingranulert tilgangsstyring i NAV skal fungere.
Tilstede:
Forfall:
Møtet blir avholdt som videokonferanse vha. Zoom, fra kl. 12:00 til 15:00.
Morten ønsker velkommen på vegne av Sikt.
Møtet åpnet med beskjeden om at HiVolda dessverre ikke har ressurser til å stille med en representant i gruppen fremover, slik at vi sannsynligvis bør se om vi finner noen andre interesserte fra UH-sektoren til å ta HiVoldas plass.
Ellers begynte møtet med en runde rundt bordet for å først høre fra UiT, UiO, UiA og NTNU hva de egentlig har for slags behov for mer fingranulert tilgangskontroll i NAV, før vi gikk videre til å se på de spørsmålene som allerede er løftet frem i f.eks. Authorization based on users organizational affiliation #1046 på GitHub.
Har mest behov for å begrense hva forskjellige brukere kan “se” i NAV.
UiO beskriver sine eventuelle behov som ganske like med UiTs (som presiserer at antageligvis 95% av brukerne de har i NAV bare har lesetilgang).
UiO sperrer ned aksess til NAV ganske kraftig, bak lukkede nett/VPN, fordi det er et verktøy som kan gjøre endringer i nettkonfigurasjon, men at det derfor er litt vanskelig/upraktisk å gi folk rene lesetilganger i NAV, f.eks. fra mobilt utstyr som ikke kan kobles til disse lukkede nettene når tekniker er ute i felt. Dette er egentlig ikke et problem NAV kan løse med tilgangskontroller.
Det oppstår en liten digresjon om modularisering av innlogging i NAV for å bedre understøtte innlogging med f.eks. MFA og SSO, og Werner nevner at om vi planlegger å støtte OIDC-innlogging at vi bør også se på om NAV kan bruke LOA-informasjon (Levels of Assurance) fra OIDC til å styre hvilke tilganger som blir gitt i NAV.
Øyvind har akkurat erstattet Rune Kittelsen i gruppen, og har ikke satt veldig dypt inn i disse problemstillingen enda. Øyvind beskriver at de har mye samme scenario som UiT beskriver, og kunne kanskje også tenke seg å gi A/V-teknikere muligheten til å selv registrere eget utstyr i NAV.
Underveis i møtet har vlan_auth
-modus i PortAdmin blitt diskutert, og UiA var nok ikke klar over at dette var en mulighet, og er interessert i å finne ut mer.
Vi fastslår at det er på sin plass å styrke NAVs dokumentasjon her, da denne muligheten er underkommunisert av eksisterende dokumentasjon.
I sammen slengen nevnes at det visstnok skal være mulig i PortAdmin å sette VLAN på porter som ellers ikke er tillatt på trunk, og da får man en situasjon uten konnektivitet. Dette er kanskje mest en feil i selve switcheconfigen (et VLAN er konfigurert inn, men ikke tillatt på trunk), men PortAdmin burde (med NAVs data) være i stand til å se at et VLAN ikke har noen vei ut av en boks, og at det derfor ikke gir noen mening å tillate å velge et slikt VLAN.
Ønsker faktisk færrest mulig begrensninger på hva som vises i NAV - alle får se det meste. Mest opptatt av at Add option to restrict PortAdmin users to only setting port descriptions #3298 kan implementeres, for begrensning av hvilke endringer en bruker har lov til å gjøre.
Utviklerteamet har lagt igjen en del spørsmål i Authorization based on users organizational affiliation #1046. Vi gikk gjennom de som ikke allerede var besvart under runden rundt bordet.
X
, så er man også implisitt medlem av alle underorganisasjoner til X
.web_access
-privilegier.web_access
-privilegier.alert_by_sms
påvirker andre varslingskanaler enn bare SMS. Dersom dette stemmer, er det å anse som en bug. Rettigheten fins fra gammelt av: Den gangen dagens SMS-varslingsmotor ble skrevet, kostet det minst en krone, i noen tilfeller mer, for hver sendte SMS, så man ønsket å kunne begrense hvem som hadde lov til å abonnere på SMS-varsler.alert_by_sms
faktisk er i bruk i NAV-koden. Dersom noe tyder på at denne brukes til noe annet enn SMS-varsling, så må det opprettes et issue. Ellers må UiT rapportere problemet selv neste gang de opplever det.Det er tydelig fra diskusjonen og underlagsmaterialet at det allerede er vanskelig å skaffe seg en god oversikt over hvilke muligheter man allerede har i NAV til å begrense brukernes tilganger. Morten foreslår at det bør opprettes en samleside for tilgangsstyring i NAVs dokumentasjon, som gir en oversikt over all dokumentasjon som fins på området fra før, men også at manglende dokumentasjon legges til og dårlig dokumentasjon forbedres.