Sikkerhetstest ID-porten

Oppdragsbeskrivelse:Spisskompetanse innenfor informasjonssikkerhet, til å gjennomføre sikkerhetstesting og sårbarhetsanalyse i hhv. Maskinporten, Ansattporten og ID-porten. Videre er formålet å motta anbefalinger om hvordan sårbarheter kan mitigeres, og sikkerheten i løsningene styrkes ytterligere.Penetrasjonstest og sårbarheitsanalyse av funksjonalitet og løysingar: Maskinporten for utenlandske verksemder Maskinporten ID-porten AnsattportenMaskinporten (årleg test) Vi gjennomførte siste test av Maskinporten under sys.ark prosjektet til Digdir (2022) Vi gjennomfører sikkerheitstest ved enkelte tilfeller av nyfunksjonalitet Her er det eit behov for sikkerheitstest, som fangar opp alle endringar gjort mot eit produkt over tid. For avdekke at det ikkje har skjedd endringar som skapar brot på informasjonssikkerheitenMaskinporten for utenlandske verksemder Dette er ny funksjonalitet, som ikkje er nytta før. Før vi går i produksjon med funksjonalitet må det penetrasjonstest, for å avdekke at vi ikkje har brot på informasjonssikkerhetID-porten (årleg test) Vi gjennomførte siste test av ID-porten under sys.ark prosjektet til Digdir (2023) Vi gjennomfører sikkerhetstest ved enkelte tilfeller av nyfunksjonalitet Her er det eit behov for sikkerheitstest, som fangar opp alle endringar gjort mot eit produkt over tid. For å avdekke at det ikkje har skjedd endringar som skapar brot på informasjonssikkerheitenAnsattporten (årleg test) Vi gjennomførte tidligere test av ansattporten når den gikk i pilot (2022) Her er det eit behov for sikkerheitstest, som fangar opp alle endringar gjort mot eit produkt over tid. For avdekke at det ikkje har skjedd endringar som skapar brot på informasjonssikkerheitenMaskinportenHer vil scope for test være alle komponenter og flyt som inngår i Maskinporten. Basert på OAUTH2Europeiske verksemder i maskinporten.Vi har utvikla ny funksjonalitet der det vert mogeleg for europeiske verksemder å få token frå Maskinporten basert på utanlandske verksemdsertifikat, basert på ein forenkla tillitsmodell. Basert på OAUTH2For ID-portenHer vil scope for test være alle komponenter og flyt som inngår i løysinga til ID-porten. ID-porten tilbyr ei trygg innlogging til digitale tenester for innbygggaren Basert på OIDCFor AnsattportenHer vil scope for test være alle komponenter og flyt som inngår i løysinga til Ansattporten. Ansattpålogging er en kombinasjon av autentisering og autorisasjon. Gjennom en ansattpålogging ønsker man å kunne knytte den personen som autentiserer seg med hvilken virksomhet denne representerer, og eventuelt hvilke roller og rettigheter denne skal ha på vegne av virksomheten. Basert på OIDC (og OAUTH2-RAR) Dokumentasjon til dei ulike løysingane finner de på Digdir dokumentasjon fordel med kunnskap om Java Spring Boot ved kodelesMERK: IKKJE DEL AV SCOPE: Plattform Pipeline Sjølvbetjening til løysingaKrav til konsulent som skal utføre oppdragetØnsket kompetanse: Kjennskap til Digitaliseringsdirektoratet, Relevant kompetanse innenfor OpenID Connect og OAUTH2 Fordel med Java Spring Boot ved kodelesFor oppdraget ligger SSA-O til grunn.Omfang og varighet: 03.11.2025 - 12.12.2025Arbeidssted: OsloSøknadsfrist: 23.10