Skip to main content

Valg av identitetstilbyder

Du bør vurdere hvilke(n) identitetstilbyder(e) som passer best til behovene i din applikasjon. Microsoft Entra ID og Digitaliseringsdirektoratets (Digdir) fellesløsninger; ID-Porten, Maskinporten og Ansattporten er identitetstilbyderne vi mener dekker bredden av konsumentene av Kartverkets digitale tjenester. I tillegg vil vi innen kort tid tilby Token Exchange for innveksling av tokens og bevaring av sluttbrukerkontekst i kall til underliggende tjenester. Hvis du har behov for en annen identitetstilbyder enn de som er listet opp under, ta kontakt med Team Tilgangsstyring på #gen-tilgangsstyring.

Valg av identitetstilbyder(e) kan forenkles å stille seg spørsmålene:

  • "Hvem er sluttbruker?". Menneske- eller maskinbruker avgjør hvilke identitetstilbydere som er aktuelle
  • "Hvilken tjeneste skal du kalle?". Interne og eksterne tjenester sikres med ulike identitetstilbydere
  • "Er jeg i kontekst av en sluttbruker?". Vi ønsker å bevare sluttbrukerkontekst i kall til underliggende tjenester ved bruk av Token Exchange

Som API-tilbyder

Valg av identitetstilbyder som API-tilbyder.

Dersom samme API skal brukes av flere typer konsumenter, for eksempel et internt system i Kartverket som blir kalt både i en sluttbrukerflyt og i en frittstående flyt (f.eks av en Job), anbefaler vi å eksponere de ulike tjeneste på ulike rotstier, f.eks /api/user/.. og /api/m2m/.., fremfor å benytte de samme endepunktene.

Som API-konsument

Valg av identitetstilbyder som API-konsument.

Utvidet funksjonalitet hos enkelte identitetstilbydere

Maskinporten og Ansattporten kan i kombinasjon med Altinn tilby utvidet funksjonalitet. Disse kan være aktuelle dersom du har behov for mer finkornet tilgangsstyring til, eller validering i, ditt API.

Maskinporten + Altinn-delegering

Altinn-delegering egner seg dersom du:

  1. Ønsker å bruke Maskinporten for å sikre ditt API, og
  2. Ønsker å tilgangsstyre API-et ved å gi konsumenter (f.eks en kommune) eksplisitt tilgang via Maskinporten, og
  3. Tillater at konsumenter delegerer tilgangen videre til en tredjepart (f.eks en systemleverandør eller et fagsystem), som da vil kunne hente tokens på vegne av konsumenten.

Tredjeparten skal ikke ha eksplisitt tilgang til det aktuelle Maskinporten-scopet i dette tilfellet, men vil kunne hente ut tokens på vegne av konsumenten så lenge konsumenten har tilgang til scopet og har delegert denne tilgangen videre i Altinn.

Her kan du lese mer om Altinn-delegering.

Maskinporten + Systembrukere i Altinn

Systembrukere i Altinn egner seg dersom du:

  1. Ønsker å bruke Maskinporten for å sikre ditt API, og
  2. Ønsker å tilgangsstyre API-et ved å gi systemleverandører eksplisitt tilgang via Maskinporten, og
  3. Ønsker å tilgangsstyre API-et ved at ansatte i konsumentens virksomhet (f.eks en kommune) med bestemte tilgangspakker eller roller i Altinn (f.eks daglig leder) kan opprette systembrukere tilknyttet systemleverandørens fagsystem

Konsumentene skal ikke ha eksplisitt tilgang til det aktuelle Maskinporten-scopet i dette tilfellet. Systemleverandør vil kunne hente ut tokens med konsumentens systembruker som authorization_details.

Her kan du lese mer om systembrukere, systemer og ressurser i Altinn.

Ansattporten + Altinn-roller

Egner seg dersom du:

  1. Ønsker å la ansatte i eksterne virksomheter logge inn med Ansattporten, og
  2. Ønsker å tilgangsstyre tilgang til API-et basert på roller definert i Altinn

Her kan du lese mer om hvordan du kan bruke Ansattporten i kombinasjon med Altinn-roller.