Maskinporten
Digitaliseringsdirektoratets dokumentasjon om Maskinporten: Slik bruker du Maskinporten som API-konsument
Tjenesten baserer seg på testmiljøet “Ver2” eller “test” i testmiljø, hvor virksomheten må bruke virksomhetssertifikat for test. I produksjonsmiljø skal virksomheten benytte virksomhetssertifikatet for produksjon.
Endringer
Finansforetak som har utgående brannmur- MÅ OPPDATERE IP-ADRESSENE Denne endringen må implementeres innen 05.01.2023 for testmiljø og 06.02.2023 for produksjonsmiljø. Dette er nødvendig for å kunne bruke Maskinporten i forbindelse med autentisering og utstedelse av access token.
Endring av endepunkt i testmiljøet - Endepunkt endres fra VER2 til TEST fra og med Q3 2022. Det er foreløpig ingen endring i eksisterende oppsett for å hente tokens, men fra og med Q3 2023 må finansforetak ta i bruk nytt endepunkt test.maskinporten.no. Mer informasjon om denne endringen kommer nærmere Q3 2023.
Opprette klient
Pensjonsinnretningen må opprette en klient i Maskinporten. Det vil si at de må opprettet tilgang til Samarbeidsportalen fra Digdir og signer Digdirs brukervilkår
Det er den som blir admin i Samarbeidsportalen som kan opprette en integrasjon.
Selvbetjening av Maskinporten via Samarbeidsportalen
Opprette integrasjon
For å kunne hente ut tokens som kan benyttes i etatenes API må man registrere en Integrasjon i maskinporten
Dette gjøres slik:
- Under “Ver2” eller “test”, velg “Integrasjoner”.
- Velg “Ny integrasjon”
- Under Difi-tjeneste velg Maskinporten og trykk “Legg til scopes”
- Følgende valg bør da dukke opp som alternativer så fremt etatene har gitt dere tilgang til scopet.
NAV: “NAV:aareg/v1/arbeidsforhold/otplan/v1/saldoopplysninger”
Skatteetaten: “Skatteetaten:inntekt/skatteetaten:inntektsmottakere” og “Skatteetaten:tjenestepensjonsavtale”
Ellers fylles følgende ut:
- Tillatte grant types: urn:ietf:params:oauth:grant-type:jwt-bearer
- Klientautentiseringsmetode: **private_key_jwt
Eksempel på Maskinporten-integrasjon:
{
"integration_type": "maskinporten",
"client_name": "oidc_difi_jb_test",
"description": "ny integrajson igjen.",
"token_endpoint_auth_method": "private_key_jwt",
"grant_types": [
"urn:ietf:params:oauth:grant-type:jwt-bearer"
],
"scopes": [ "difitest:api3", "difitest:api4"]
}
Oppretting av tokens
Når “Integrasjonen” lagres vil den få en identifikator. Denne skal benyttes når man gjør kall for å få opprettet tokens.
Detaljer for å få ut tokens fra ny integrasjon er som følger:
- Token Endpoint: https://ver2.maskinporten.no/token eller https://test.maskinporten.no/
- Issuer: Id på integrasjonen
- Audience: https://ver2.maskinporten.no/ eller https://test.maskinporten.no/
Bruk av Skatteetatens Apier med token fra maskinporten
Bruk av NAVs Api med token fra maskinporten
Pensjonsinnretning som benytter ekstern leverandør
Hvordan registrere klient ved delegering
Virksomhetssertifikat
Etatene validerer på org.nummeret i Maskinporten-tokenet. Pensjonsinnretninger som benytter en ekstern systemleverandør som skal bruke eget virksomhetssertifikat mot Maskinporten, må pensjonsinnretningen bruke Delegerings-tjenesten i Altinn
Maskinporten og consumer
Dette settes basert på virksomhetssertifikatet pensjonsinnretningen/leverandøren bruker for å kalle Maskinporten. Når pensjonsinnretningen/leverandøren har fått gjennom et kall og hentet access_token fra Maskinporten med et virksomhetssertifikat så har “consumer” blitt satt automatisk. Innholdet i tokenet kan verifiseres med https://jwt.io.
Ved bruk av delegeringstjenesten, må man angi hvilken pensjonsinnretning/leverandør som man kaller på vegne av.
Endringslogg
| Dato | Endring | Link i dokumentasjon |
|---|---|---|
| 04.04.2023 | Oppdatert link til skatteetatens Github | Link |