Skip to main content

Sikkerhet

Generelt

  • Alle kall må autentiseres med Maskinporten-token med scope: husbanken:lanogtilskudd/laneinfo.read
  • Tjenesten er IP-begrenset. Kun IP-adresser som Husbanken har whitelistet får tilgang.
  • Bruk alltid HTTPS. Kall uten gyldig token eller fra ikke-godkjent IP blir avvist.

Autentisering i HTTP:

  • Authorization: Bearer [Maskinporten-token]
  • Content-Type: application/json (for POST)

Token-krav (Maskinporten)

For uthenting av låneinformasjon gjelder følgende:

  • Token må være et Maskinporten-token, utstedt til konsumentens virksomhet.
  • Tokenet må inneholde claims for både supplier (konsumenten) og consumer (kunden/kommunen).
  • Consumer (orgnr) i tokenet må være identisk med kundenummeret (orgnr) i forespørselen.
  • Token med kun consumer (uten supplier) avvises. Oppslag på «seg selv» er ikke tillatt for konsumenter.
  • Delegasjon i Altinn er påkrevd fra kommunen til konsumenten for at supplier/consumer-relasjonen skal være gyldig.

Avvisningsscenarier (eksempler):

  • 403 Ingen tilgang dersom consumer i token ikke samsvarer med kundenummer i request.
  • 403 Ingen tilgang dersom supplier mangler i token.
  • 403/401 dersom token ikke er Maskinporten-token eller scope mangler/er feil.

Renter

  • Endepunktet GET /lan/v1/renter krever Maskinporten-token med riktig scope.
  • Ingen ytterligere autorisering enn gyldig token og IP-filtrering.

Lån

  • Endepunktet POST /lan/v1/lan krever i tillegg at målorganisasjonen (kundenummer) er en tillatt organisasjonstype (KOMM). Se introduksjonen.
  • Kun aktive lån (tilskudd og eldre innfridde lån filtreres bort) returneres.

Delegering av tilgang (Altinn)

For å få tilgang til låneinformasjon for en kommune, må kommunen delegere API-tilgang til leverandøren i Altinn. Dette må gjøres for hver kommune det skal hentes informasjon om.

  • En administrator i kommunen logger inn i Altinn og delegerer nødvendige rettigheter til leverandøren.
  • Etter delegering vil Maskinporten-token kunne utstedes med consumer=kommunens orgnr og supplier=konsumentens orgnr.

Oppskrift for delegering av API-tilgang i Altinn

https://info.altinn.no/hjelp/profil/tilgang-til-programmeringsgrensesnitt---api/delegering-av-api-tilgang/

Klient for token

For å kunne kalle tjenesten må man ha en Maskinporten-klient og få tildelt riktig scope. Følg veiledningen fra Altinn/Maskinporten: