Spørsmål og svar - Maskinporten

Her finner du ofte stilte spørsmål om Maskinporten.

Publisert: 30. aug 2019, Sist endret: 20. Feb 2020

Hva menes med tilbyder og konsument?

Tilbyder

Når virksomheten din har data som skal deles med andre er dere tilbyder. ​​​​​​

Konsument

Når dere skal bruke data som andre har delt er dere konsument. 

Eksempel: Digitaliseringsdirektoratet (Digdir) bruker KRR i egen organisasjon, samtidig som vi har et API som gjør det mulig å dele det med andre. Digdir bruker selv KRR for å hente kontaktinformasjon til innbygger ved innlogging med MinID, samtidig som APIet kan brukes av innbyggers kommune for varsling om septikktømming.

Hva er et scope?

Et scope bestemmer omfanget av tilgangen som gis. Du kan få lesetilgang eller skrivetilgang. API-tilbyder bestemmer hvilken tilgang du gis. 

Eksempel: I KRR-APIet ligger et scope som heter "Global/kontaktinformasjon.read": Dette scopet gir tilgang til digital kontaktinformasjon. Språkvalg ligger ikke i dette scopet og vil derfor ikke bli eksponert. ​​​​

I hvilke tilfeller kan vi bruke Maskinporten?

Maskinporten brukes for maskin-maskin autentisering. Det er ikke en sluttbruker som logger inn, men maskiner som henter og deler data med hverandre.

Maskinporten skal tilby offentlige etaten en enkel måte å sikre sine APIer med virksomhetsautentisering og tilgangsstyring. Maskinporten er en egenskap ved ID-portens OIDC provider som tilbyr en enkel modell for API-sikring basert på såkalt “2-legged Oauth”. 

API-tilbydere og konsumenter kan bruke denne funksjonaliteten for å styre tilgang i de tilfellene der informasjonsverdiene APIet tilbyr er regulert av lovhjemmel, og ikke krever samtykke av brukeren. ​​​​Bruk av Maskinporten krever at begge aktørene bruker ID-porten sin selvbetjeningsfunksjonalitet. 

Les mer i integrasjonsguiden for Maskinporten.

Trenger vi et virksomhetsertifikat?

Ja, virksomhetsertifikatet brukes til signering av JWT og valideres. Dersom klienten har tilgang til de forespurte ressursene returneres et access_token til klienten. 

Maskinporten tar seg av håndtering av sertifikat og kan slik gå god for identiteten til den enkelte virksomheten, enten dere er tilbyder av data aller bruker av data. For å kunne gjøre dette bruker Maskinporten leverandører av virksomhetssertifikat, som Buypass og Commfides og som blir verifisert gjennom informasjon fra Enhetsregistret og Folkeregisteret.

Maskinporten leverer på denne måten en sikringsmekanisme for trygg deling av data, og sikrer at virksomheten berre deler data med de dere ønsker å dele data med.

Hvordan får jeg tilgang til selvbetjenings-APIet?

Dere må ta kontakt med servicedesk@digdir.no for å få tilgang til å bruke API-et.

Hva er forskjellen på autentisering og autorisering?

Autentisering - Godkjenning av en legitimasjon
Med autentisering menes her handlingen å bekrefte, ved hjelp av et elektronisk identitetsbevis (e-ID), at en bruker (person eller virksomhet) er den han gir seg ut for å være. 

Autorisering - Tillatelse til å utføre en handling eller å bruke noe
Autorisering innebærer å gi en gitt bruker (person eller virksomhet) tilgang til et veldefinert sett med ressurser, tjenester og systemer gjennom å definere en tilgangs-policy.

 

Deldette