Table of Contents

NAV referansegruppemøte om tilgangsstyring i NAV, 24. april 2025

NAV-ref Home

Dette er et ekstraordinært referansegruppemøte kun for å diskutere hvordan mer fingranulert tilgangsstyring i NAV skal fungere.

Tilstede:

Forfall:

Agenda

Møtet blir avholdt som videokonferanse vha. Zoom, fra kl. 12:00 til 15:00.

0. Velkommen/Innledning

Morten ønsker velkommen på vegne av Sikt.

1. Tilgangsstyring i NAV

Relevante issues og annet saksunderlag

Referat

Møtet åpnet med beskjeden om at HiVolda dessverre ikke har ressurser til å stille med en representant i gruppen fremover, slik at vi sannsynligvis bør se om vi finner noen andre interesserte fra UH-sektoren til å ta HiVoldas plass.

Ellers begynte møtet med en runde rundt bordet for å først høre fra UiT, UiO, UiA og NTNU hva de egentlig har for slags behov for mer fingranulert tilgangskontroll i NAV, før vi gikk videre til å se på de spørsmålene som allerede er løftet frem i f.eks. Authorization based on users organizational affiliation #1046 på GitHub.

Runde rundt bordet

UiT

Har mest behov for å begrense hva forskjellige brukere kan “se” i NAV.

UiO

UiO beskriver sine eventuelle behov som ganske like med UiTs (som presiserer at antageligvis 95% av brukerne de har i NAV bare har lesetilgang).

UiO sperrer ned aksess til NAV ganske kraftig, bak lukkede nett/VPN, fordi det er et verktøy som kan gjøre endringer i nettkonfigurasjon, men at det derfor er litt vanskelig/upraktisk å gi folk rene lesetilganger i NAV, f.eks. fra mobilt utstyr som ikke kan kobles til disse lukkede nettene når tekniker er ute i felt. Dette er egentlig ikke et problem NAV kan løse med tilgangskontroller.

Det oppstår en liten digresjon om modularisering av innlogging i NAV for å bedre understøtte innlogging med f.eks. MFA og SSO, og Werner nevner at om vi planlegger å støtte OIDC-innlogging at vi bør også se på om NAV kan bruke LOA-informasjon (Levels of Assurance) fra OIDC til å styre hvilke tilganger som blir gitt i NAV.

UiA

Øyvind har akkurat erstattet Rune Kittelsen i gruppen, og har ikke satt veldig dypt inn i disse problemstillingen enda. Øyvind beskriver at de har mye samme scenario som UiT beskriver, og kunne kanskje også tenke seg å gi A/V-teknikere muligheten til å selv registrere eget utstyr i NAV.

Underveis i møtet har vlan_auth-modus i PortAdmin blitt diskutert, og UiA var nok ikke klar over at dette var en mulighet, og er interessert i å finne ut mer.

Vi fastslår at det er på sin plass å styrke NAVs dokumentasjon her, da denne muligheten er underkommunisert av eksisterende dokumentasjon.

I sammen slengen nevnes at det visstnok skal være mulig i PortAdmin å sette VLAN på porter som ellers ikke er tillatt på trunk, og da får man en situasjon uten konnektivitet. Dette er kanskje mest en feil i selve switcheconfigen (et VLAN er konfigurert inn, men ikke tillatt på trunk), men PortAdmin burde (med NAVs data) være i stand til å se at et VLAN ikke har noen vei ut av en boks, og at det derfor ikke gir noen mening å tillate å velge et slikt VLAN.

NTNU

Ønsker faktisk færrest mulig begrensninger på hva som vises i NAV - alle får se det meste. Mest opptatt av at Add option to restrict PortAdmin users to only setting port descriptions #3298 kan implementeres, for begrensning av hvilke endringer en bruker har lov til å gjøre.

Diskusjon rundt spørsmål i #1046

Utviklerteamet har lagt igjen en del spørsmål i Authorization based on users organizational affiliation #1046. Vi gikk gjennom de som ikke allerede var besvart under runden rundt bordet.

Avslutningsvis

Det er tydelig fra diskusjonen og underlagsmaterialet at det allerede er vanskelig å skaffe seg en god oversikt over hvilke muligheter man allerede har i NAV til å begrense brukernes tilganger. Morten foreslår at det bør opprettes en samleside for tilgangsstyring i NAVs dokumentasjon, som gir en oversikt over all dokumentasjon som fins på området fra før, men også at manglende dokumentasjon legges til og dårlig dokumentasjon forbedres.