Skatteetaten vil fremover benytte maskinporten som autentiserings- og autorisasjonstjener for maskin-til-maskin grensesnitt.

Skatteetaten vil fremover benytte maskinporten som autentiserings- og autorisasjonstjener for maskin-til-maskin grensesnitt. Digitaliseringsdirektoratet har beskrevet overordnet hvordan API-sikring med maskinporten gjøres. Vi anbefaler alle virksomheter å sette seg godt inn i dette rammeverket. For å komme i gang med testing må det gjøres noen forberedelser hos virksomheten:

Ta kontakt med Digitaliseringsdirektoratet for å få tilgang til Maskinporten

Bestill tilknytning til maskinporten via Digdir samarbeidsportal

Systemmessige klargjøringer

Klargjøring fra Skatteetaten:

Så snart korrekt tjeneste og rettighetspakke for virksomheten er avklart, vil Skatteetaten melde inn virksomhetens organisasjonsnummer og tilgangen hos Digitaliseringsdirektoratet.

Status for migrering av Skatteetatens tjenester til Maskinporten.
For test med Maskinporten benyttes miljøet ver2: https://ver2.maskinporten.no/

Klargjøring fra Virksomheten:

Når virksomheten har fått beskjed at tilgangen (scopet) er opprettet i maskinporten må tilgangen provisjoneres fra den klienten virksomheten skal benytte for å hente data. Dette gjøres ved å oppdatere Oauth2 klienten som skal ha tilgangen med det nye scopet, via ID-porten sitt API for selvbetjening av integrasjoner eller via et brukergrensesnitt i samarbeidsportalen. All kommunikasjon mot Maskinporten er sikret med “server-to-server oauth2” med bruk av virksomhetssertifikat. For test trenger man et testsertifikat av typen ‘signering’. Når dette er gjort kan man begynne å bruke skatteetatatens apier.

Bruke Skatteetatens api’er med token fra maskinporten

All kommunikasjon mellom Virksomheten, Maskinporten og Skatteetaten gjøres over HTTPS (TLS). Bruk av REST-api’er hos Maskinporten er sikret med “server-to-server oauth2”, se mer informasjon om dette her: Digidr oauth2.

Overordnet gjøres følgende:

  1. Først gjøre et kall til maskinporten for å få et token som kan brukes mot Skatteetaten. Fremgangsmåte er beskrevet på Digdir sine side for hvordan bruke maskinporten som konsument. Merk at “Resource” er valgfri og skal ikke settes for Skatteetatens API. Dette medfører at audience blir “unspecified” som Skatteetaten forventer.
  2. Tokenet legges ved kallet i Authorization header. Tokenet legges ved slik: Authorization: Bearer <token>
  3. Skatteetaten validerer tokenet og at konsumenten har rett til den informasjonen de prøver å hente (tilgangskontroll).
  4. Hvis alt er OK returneres data iht. forespørselen.

Hvordan opptre på vegne av en annen virksomhet

Det vil være mulig for systemleverandører (og andre) å opptre på vegne av andre virksomheter ved oppkobling mot Skatteetaten for de api’ene som støtter dette. Dette innebærer bl.a. at virksomheten må delegere en rettighet til systemleverandøren i Altinn.

Digdir har en nærmere beskrivelse av hvordan dette gjøres. Se Delegere rettigheter via Altinn. Selve kallene mot Skatteetaten vil skje på vanlig måte men tokenet vil inneholde informasjon både om konsument og systemleverandør.

Hvordan delegere rettigheter til leverandører (video)

Tags: