Autorisasjon Kom i gang Autentisering Maskinporten

Autentisering med Maskinporten

Altinn støtter bruk av Maskinporten-token i flere API-er

API for tjenesteeiere i sammenheng med data for Altinn Apps
API for systemleverandører i sammenheng med systembruker

Forutsetninger

For å ta i bruk autentisering med Maskinporten må man først ha tilgang til en Maskinporten-klient. Du finner en detaljert guide som omhandler denne registreringen i lenken under.

Vis/skjul innhold Veiledning om hvordan du registrerer en ny Maskinporten-integrasjon i Samarbeidsportalen

Maskinporten-klienter opprettes i selvbetjeningsportalen:

For produksjonsmiljøet opprettes klienter fra: https://sjolvbetjening.samarbeid.digdir.no.
For testmiljøet opprettes klienter fra: https://sjolvbetjening.test.samarbeid.digdir.no.

Start med å logge inn på kontoen din med valgt metode.
Når du er logget inn på kontoen din, vises organisasjonen du representerer i toppmenyen til høyre.
Organisasjonen du representerer vises i toppmenyen.
Hvis du logget inn for å representere en syntetisk organisasjon, vil du også kunne endre den organisasjonen du representerer i nedtrekksmenyen på det elementet.
Du kan endre den syntetiske organisasjonen du representerer i nedtrekksmenyen.
Velg Opprett klient-knappen for å begynne å opprette en ny klient for organisasjonen du representerer.
Velg Maskinporten på Legg til klient-siden.
På Legg til Maskinporten klient-siden fyll inn visningsnavn, beskrivelse og legg til dine nødvendige scopes (disse verdiene kan også endres senere). Klikk deretter Opprett-knappen.
Siden for å legge til Maskinporten-klient.
Du har nå opprettet en Maskinporten-klient for din organisasjon. For å bruke denne klienten må du legge til minst én autentiseringsnøkkel. Klienten støtter JWK- og PEM-nøkler. Start med å enten finne en eksisterende nøkkel eller opprette en ny. Du kan bruke Altinn JWKS-verktøyet eller annen nøkkelgenerator du ønsker til dette formålet. Naviger deretter til nøkkelseksjonen på klientsiden din og velg Legg til.
Nøkler kan legges til i nøkkelseksjonen.
I feltet JWK eller PEM format lim inn din offentlige nøkkel og klikk Lagre. Nøkkelen er nå lagt til klienten. Lagre din private nøkkel fra din JWK eller PEM på et sikkert sted, da den brukes til å autorisere bruken av denne klienten. Hvis du bruker Azure Key Vault for å lagre dine private nøkler, må de være base64-kodet før opplasting.
Den offentlige JWK- eller PEM-nøkkelen limes inn i dette feltet
Hvis du ikke gjorde det i trinn 5, må du legge til ønskede scopes til klienten din før den kan brukes.
Fra Scopes-fanen på klientdefinisjonen din, klikk Legg til-knappen.
Scopes som er tilgjengelige for organisasjonen din vil vises i listen. Velg de nødvendige og klikk Send inn.

Tilgang som tjenesteeier

For å kunne hente data fra Storage i Altinn 3 via API som tjenesteeier, må du opprette en integrasjon (klient) i Maskinporten med nødvendige scopes.

Følgende scopes er opprettet av Altinn og delegert til tjenesteeier. Disse scopene er nødvendige for å benytte API-ene relatert til instanser som tjenesteeier:

altinn:serviceowner/instances.read
altinn:serviceowner/instances.write

Klienter med write scope kan blant annet instansiere apper på vegne av brukere via appens eget API, laste opp data, oppdatere metadata og prosess-status. Klienter med read scope kan kun lese data, metadata og hendelser.

I de fleste tilfeller vil en klient for tjenesteeier ha behov for begge scopene.

Veksle til Altinn-token

Altinn godtar ikke Maskinporten-token direkte. Disse må veksles inn i Altinn-token. Se detaljer i scenarioet under.

Mer informasjon

For mer informasjon, se dokumentasjon for API-konsument fra Maskinporten.
Se også scenario for autentisering for flere detaljer (på engelsk).