Stundum er talið gagnlegt að tengja lausnir 3ðja aðila við skýjageira Umbru fyrir hönd ríkisaðila í rekstri. Er þá oft um að ræða lausnir sem þurfa að geta lesið notendur og/eða gögn ríkisaðila eða á annan hátt geta unnið með Microsoft skrifstofuumhverfinu.


Til að tryggja öryggi allra ríkisaðila í rekstri, þá gerir Umbra ákveðnar grunn kröfur til tengingar slíkra lausna og eru þær rýndar þegar beiðni frá ríkisaðila berst. Mikilvægt er að ríkisaðilar í rekstri og þjónustuaðilar 3ðju aðila lausna séu meðvitaðir um þessar grunn kröfur og biðji ekki um tengingar á lausnum sem fyrirfram er vitað að styðji ekki við eina eða fleiri af þessum kröfum.



Ef lausnin stenst ekki útlistaðar kröfur að neðan þá er líklegt að tengingum við hana verði hafnað af hálfu Umbru sem rekstraraðila. Umbra áskilur sér einnig rétt til þess að hafna lausn sem þó stenstu útlistaðar kröfur en gæti þurft of víðtæk réttindi í skýjageiranum.



Tæknilegar kröfur lausna

Neðangreindar tæknilegar kröfur eru grunnkröfur sem öpp þurfa að uppfylla. Eru ríkisaðilir og þjónustuaðilar beðnir um að sannreyna að app uppfylli að lágmarki þessar kröfur áður en beiðni er send til Umbru.


Gott er að fá eins miklar hönnunarupplýsingar um appið eins og kostur er til að flýta rýniferlinu.


Grunnkröfur


  • Þegar beiðni berst um samþykki á appi þá gerir verklag kröfu um að app sé „Verified“ og að hægt sé að skoða „Terms & conditions“. 
    • Hér til hliðar má sjá dæmi um app sem uppfyllir ekki þessar kröfur.



  • Umbra þarf að meta hvort hægt sé að veita réttindi sem kerfið eða lausnin þarfnast. Þá er skoðað hvort aðrar, þegar samþykktar lausnir uppfylla þarfinar sem appið á að sinna. Ef réttindi eru ekki of víðtæk má innleiða þessi öpp fyrir stofnunina. Öryggishópur er þá tilgreindur fyrir appið.


  • Undir „This app would like to:“ er ekki beint tiltekið hver tilgangur er (þ.e. SSO), heldur er það að sagt geta skráð sig inn og lesið user profile. Út frá orðalagi beiðnarinnar (permission request) er ekki hægt að sjá hvort að appið sé að biðja um „delegated“ réttindi eða hvort verið sé að biðja application réttindi (sem eru aldrei leyfð).
    • Oftast kemur það svo í ljós þegar búið er að samþykkja app hver megin tilgangurinn er, en þetta er þó „Catch 22“, því án samþykkis er ekki hægt að nálgast þessar upplýsingar. Hér gæti birgi hugsanlega veitt þessar upplýsingar fyrirfram.
  • Gerð er krafa um að slóðir "appa" vísi á full umhverfi, ekki sandbox, temp eða slíkt, og að nafn "apps" eða framleiðanda komi fram í slóðinni.