Scopes for begrensning av tilganger

Scopes benyttes av Altinn for å begrense tilganger for OAuth2-klienter benyttet ifm innlogginger i ID-porten eller Maskinporten.

På denne siden:

Scopes for begrensning av tilgang

Alle API-forespørsler til Altinn 2.0 krever en API-nøkkel som vil være begrenset til en eller flere områder av API-et.

I tillegg kan du velge å provisjonere klienter i ID-porten/Maskinporten med et eller flere scopes, som vil ytterligere begrense hvilke operasjoner klienten kan utføre. Merk at scopes er kun en mekanisme for begrensning av eksisterende rettigheter; hvis din organisasjon eller API-nøkkel ikke har tilgang til et gitt API vil ikke scope på en klient gi deg tilgang.

Hvis du ikke ønsker å begrense klienten sin tilgang, men kun vil forholde deg til API-nøkkelens tilganger, kan de generelle scopene som altinn:serviceowner eller altinn:enduser benyttes, men vi anbefaler av sikkerhets- og personvernsårsaker å kun gi klienten de spesifikke scopene den trenger.

Tjenesteeier-API

Alle disse scopene er virksomhetsautentiserte, og krever at din organisasjon er tjenesteeier i Altinn. Du må også ha en API-nøkkel som er knyttet til serviceowner-ressursen. Kun tjenesteeiere i Altinn vil kunne provisjonere klienter med disse scopene.

Scope Begrenses til API-et /api/serviceowner/…
altinn:serviceowner (Ingen begrensninger)
altinn:serviceowner/organizations organizations
altinn:serviceowner/reportees reportees
altinn:serviceowner/rolesandrights rights, roles
altinn:serviceowner/events events
altinn:serviceowner/srr.read srr (GET)
altinn:serviceowner/srr.write srr (POST, PUT, DELETE)
altinn:serviceowner/consents consents
altinn:serviceowner/delegationrequests.read delegationrequests (GET)
altinn:serviceowner/delegationrequests.write delegationrequests (POST, DELETE)
altinn:serviceowner/notifications.read notifications (GET)

Hvis .read/.write-suffiks ikke er oppgitt, tilbys bare GET og scopet er å regne som begrenset til leseoperasjoner.

/api/serviceowner/roledefinitions krever ikke noe spesielt scope.

Ta kontakt med tjenesteeier@altinn.no hvis din organisasjon ikke har fått tilgang til scopet du trenger i Maskinporten.

Sluttbruker-API

For tilgang til disse scopene i produksjon må din organisasjon gis tilgang til de scopene som behøves. Dette er i tillegg til at en API-nøkkel med tilstrekkelige rettigheter må være utstedt din organisasjon. For tilgang til disse scopene, ta kontakt med servicedesk@altinn.no.

I testmiljøet TT02 (som benytter seg av ID/Maskinportens VER2-miljø) er alle scope åpne for alle og kan tas i bruk av alle med tilgang til å opprette klienter i ID/Maskinporten.

De fleste sluttbruker-scopes krever en autentisert bruker - altså en autentisert person gjennom en personinnlogging, eller en virksomhetsbruker gjennom en virksomhetsinnlogging. Noen kan benyttes med kun virksomhetsinnlogging, altså uten en person/bruker, se under for oversikt.

Scope Begrenses til /api/…
altinn:enduser¹ Generelt scope, ingen begrensninger utover API-key
altinn:endusernoconsent¹ Generelt scope forbeholdt tjenesteeiere som har legacy-implementasjoner. Krever ikke eksplisitt samtykke fra sluttbruker.
altinn:consenttokens.read² Leseoperasjoner (GET) på /api/authorization/token
altinn:consenttokens.write² Skriveoperasjoner (POST, DELETE) på /api/authorization/token
altinn:rolesandrights.read Leseoperasjoner (GET) på /api/{who}/roles og /api/{who}/authorization/rights
altinn:rolesandrights.write Skriveoperasjoner (DELETE) på /api/{who}/roles og /api/{who}/authorization/rights
altinn:reportees /api/reportees. Inkluderer også POST /reportees/reporteeconversion
altinn:profiles.read Leseoperasjoner (GET) på /api/{org}/profile og /api/my/profile
altinn:profiles.write Skriveoperasjoner (POST,DELETE) på /api/{org}/profile
altinn:lookup /api/{who}/lookup)
altinn:instances.meta Kun GET /api/{who}/messages, altså kun liste, ikke enkeltelementer
altinn:instances.read Leseoperasjoner (GET) på /api/{who}/messages/{messageId}, /api/{who}/messages/attachments, /api/{who}/messages/forms
altinn:instances.write Skriveoperasjoner (POST,PUT,DELETE) på /api/{who}/messages, /api/{who}/messages/attachments, /api/{who}/messages/forms
altinn:delegations.read Leseoperasjoner (GET) på /api/{who}/authorization/delegations
altinn:delegations.write Skriveoperasjoner (POST,DELETE) på /api/{who}/authorization/delegations
altinn:brokerservice.read Leseoperasjoner (GET) på /api/{who}/brokerservice
altinn:brokerservice.write Skriveoperasjoner (POST) på /api/{who}/brokerservice
altinn:delegationrequests.read² Leseoperasjoner (GET) på /api/delegationrequest
altinn:delegationrequests.write² Skriveoperasjoner (POST,DELETE) på /api/delegationrequest
altinn:consentrequests.read²³ Leseoperasjoner (GET) på /api/consentrequest
altinn:consentrequests.write²³ Skriveoperasjoner (POST,DELETE) på /api/consentrequest
altinn:roledefinitions.read Leseoperasjoner (GET) på /api/{who}/authorization/RoleDefinitions
altinn:roledefinitions.write Skriveoperasjoner (POST,PUT,DELETE) på /api/{who}/authorization/RoleDefinitions
altinn:enterpriseusers.read² Leseoperasjoner (GET) på /api/enterpriseusers
altinn:enterpriseusers.write² Leseoperasjoner (POST,DELETE) på /api/enterpriseusers

¹ Dette scopet er kun tilgjengelig for eksisterende portalløsninger som i dag benytter legacy-autentisering (cookie-basert) og som av spesielle årsaker ikke har mulighet til OIDC/OAuth2 med brukerinteraksjon. Nye integrasjoner kan benytte altinn:enduser, som gir samme tilganger.
² Krever virksomhetsinnlogging, kan brukes uten virksomhetsbruker.
³ Også tilgjengelig som altinn:enduser/consentrequest.* (deprecated)
Hvis .read/.write-suffiks ikke er oppgitt, tilbys bare GET og scopet er å regne som begrenset til leseoperasjoner.

/api/authentication og /api/metadata krever ikke autentisering og dermed ikke noe spesielt scope.

Se også