Maskinporten

Digitaliseringsdirektoratets dokumentasjon om Maskinporten: Slik bruker du Maskinporten som API-konsument

Tjenesten baserer seg på testmiljøet “test”, hvor virksomheten må bruke virksomhetssertifikat for test. I produksjonsmiljø skal virksomheten benytte virksomhetssertifikatet for produksjon.

Endringer

Finansforetak som har utgående brannmur- MÅ OPPDATERE IP-ADRESSENE Denne endringen må implementeres innen 05.01.2023 for testmiljø og 06.02.2023 for produksjonsmiljø. Dette er nødvendig for å kunne bruke Maskinporten i forbindelse med autentisering og utstedelse av access token. 

Endring av endepunkt i testmiljøet - Endepunkt endres fra VER2 til TEST fra og med Q3 2022. Det er foreløpig ingen endring i eksisterende oppsett for å hente tokens, men fra og med Q3 2023 må finansforetak ta i bruk nytt endepunkt test.maskinporten.no. Mer informasjon om denne endringen kommer nærmere Q3 2023.

Opprette klient

Pensjonsinnretningen må opprette en klient i Maskinporten. Det vil si at de må opprettet tilgang til Samarbeidsportalen fra Digdir og signer Digdirs brukervilkår

Det er den som blir admin i Samarbeidsportalen som kan opprette en integrasjon.

Selvbetjening av Maskinporten via Samarbeidsportalen

Opprette integrasjon

For å kunne hente ut tokens som kan benyttes i etatenes API må man registrere en Integrasjon i maskinporten

Dette gjøres slik:

  1. Under “test”, velg “Integrasjoner”.
  2. Velg “Ny integrasjon”
  3. Under Difi-tjeneste velg Maskinporten og trykk “Legg til scopes”
  4. Følgende valg bør da dukke opp som alternativer så fremt etatene har gitt dere tilgang til scopet.

    NAV: “NAV:aareg/v1/arbeidsforhold/otplan/v1/saldoopplysninger”

    Skatteetaten: “Skatteetaten:inntekt/skatteetaten:inntektsmottakere” og “Skatteetaten:tjenestepensjonsavtale”

Ellers fylles følgende ut:

  • Tillatte grant types: urn:ietf:params:oauth:grant-type:jwt-bearer
  • Klientautentiseringsmetode: **private_key_jwt

Eksempel på Maskinporten-integrasjon:

{
   "integration_type": "maskinporten",
    "client_name": "oidc_difi_jb_test",
    "description": "ny integrajson igjen.",
    "token_endpoint_auth_method": "private_key_jwt",
    "grant_types": [
        "urn:ietf:params:oauth:grant-type:jwt-bearer"
    ],
    "scopes": [  "difitest:api3", "difitest:api4"]
}

Oppretting av tokens

Når “Integrasjonen” lagres vil den få en identifikator. Denne skal benyttes når man gjør kall for å få opprettet tokens.

Detaljer for å få ut tokens fra ny integrasjon er som følger:

  • Token Endpoint: https://test.maskinporten.no/
  • Issuer: Id på integrasjonen
  • Audience: https://test.maskinporten.no/

Bruk av Skatteetatens Apier med token fra maskinporten
Bruk av NAVs Api med token fra maskinporten

Pensjonsinnretning som benytter ekstern leverandør

Delegering i Maskinporten Maskinporten

Hvordan registrere klient ved delegering

Virksomhetssertifikat

Etatene validerer på org.nummeret i Maskinporten-tokenet. Pensjonsinnretninger som benytter en ekstern systemleverandør som skal bruke eget virksomhetssertifikat mot Maskinporten, må pensjonsinnretningen bruke Delegerings-tjenesten i Altinn

Maskinporten og consumer

Dette settes basert på virksomhetssertifikatet pensjonsinnretningen/leverandøren bruker for å kalle Maskinporten. Når pensjonsinnretningen/leverandøren har fått gjennom et kall og hentet access_token fra Maskinporten med et virksomhetssertifikat så har “consumer” blitt satt automatisk. Innholdet i tokenet kan verifiseres med https://jwt.io.

Ved bruk av delegeringstjenesten, må man angi hvilken pensjonsinnretning/leverandør som man kaller på vegne av.

Endringslogg

Dato Endring Link i dokumentasjon
04.04.2023 Oppdatert link til skatteetatens Github Link