@ksvedal/docs 0.1.0

package/dist/general--WqS-xp8.js

@@ -0,0 +1,89 @@
+const e = `# Generelt om ansattporten
+Ansattporten er en egen innloggingtjeneste med funksjonalitet som er tilpasset bruk som ansatt eller i andre situasjoner der en nett-tjeneste eller et API har behov for at sluttbruker må opptre i et representasjonsforhold på vegne av virksomheter.
+
+\`\`\`mermaid
+graph LR
+  I(ID-porten)
+  A(Ansattporten)
+  IRP(Tjeneste for innbygger)
+  ARP(Tjeneste for ansatte)
+
+  eid["Privat eID-leverandør 
+  (MinID, BankID, etc... )"]
+  ak[("Autorativ kilde
+(Altinn Autorisasjon)")]
+  aid["Ansatt-eid
+(pilot: Microsoft Entra ID)"]
+
+  IRP -. integrert mot .- I 
+  I -. videreformidler innlogging fra  .- eid
+
+  ARP -. integrert mot .-> A
+  A -. videreformidler innlogging fra .-> eid 
+  A -.-> |henter representasjon fra | ak
+
+  A -...- | videreformidler innlogging og representasjon fra | aid
+\`\`\`
+
+Disse viktigste egenskapene ved Ansattporten er som følger:
+
+### Egen "port"
+
+Ansattporten er en selvstendig tjeneste som er uavhengig av ID-porten.  Det betyr at tjenester i ID-porten ikke er mulig å nå fra Ansattporten og vice versa. 
+
+Samtidig så deler ID-porten og Ansattporten samme kildekode-base, så det er i praksis bare litt konfigurasjon og tilpasset funksjonalitet som skiller de to portene teknisk.  Som hovedregel vil oppdateringer, feilrettinger og ny funksjonalitet bli rullet ut mer eller mindre samtidig til begge portene. Ansattporten tilbyr også de samme elektroniske ID'ene som er tilbudt av ID-porten, dvs. MinID, BankID, Buypass og Commfides.
+
+Protokollmessig sier vi at Ansattporten er en egen Oauth2 autorisasjonsserver / OpenID Provider, identifisert ved sin \`issuer\`-verdi.
+
+
+### Ingen SSO-funksjonalitet mellom tjenester
+
+Som forklart ovenfor, så er ID-porten og Ansattporten isolert fra hverandre som separate OpenID providere. Det er derfor ikke mulig å få single-sign on (SSO) mellom ansatt-tjenester i Ansattporten til innbygger-tjenester i ID-porten.  
+
+Men til forskjell fra ID-porten så tilbyr ikke Ansattporten SSO mellom de ulike tjenestene heller.  Dette er realisert ved at alle klienter får tvangs-satt flagget som aktiverer funksjonaliteten [isolert sso-sesjon](../../docs/idporten/oidc/oidc_func_nosso.html).
+
+### Autorative kilder for representasjon
+
+Ansattporten kan brukes enten til ordinær punktinnlogging, eller til å kreve at innlogga bruker må ha et bestemt representasjonsforhold for en virksomhet.   Ansattporten har ikke - og vil aldri få - sin egen database/register over roller/rettigheter, men baserer seg på eksterne, autorative kilder for representasjonsforhold.
+
+Dersom tjenesten krever representasjon, vil Ansattporten vise en organisasjonsvelger til brukeren, som er forhåndspopulert basert den autorative kilden.
+
+I dag er det kun Altinn Autorisasjon som er støttet som autorativ kilde. 
+
+
+# Hvem kan bruke Ansattporten ?
+
+Alle kunder som har inngått Digdir sine bruksvilkår for fellesløsninger kan bruke Ansattporten til ordinær punkt-autentisering på samme måte som de gjør i ID-porten idag.
+
+Men bare kunder som også er tjenesteeier i Altinn, kan bruke funksjonaliteten med organisasjonsvelger og tilgangstyring basert på representasjonsforhold i Altinn Autorisasjon.
+
+
+# Hva koster Ansattporten ?
+
+P.t. har Ansattporten samme finansieringsmodell som ID-porten.  200.000-innnloggingskvoten er felles for de to portene.
+
+Merk at finansieringsmodell trolig vil endres i fremtiden.
+
+
+# Hvordan administrerer jeg Ansattporten ?
+
+På akkurat samme måte som for ID-porten, men du må passe på at integrasjonene du opprette i selvbetjening har \`integration_type\` satt til \`ansattporten\`.
+
+
+# Er Ansattporten fremdeles i pilot-status? 
+
+Fra 2025 går Ansattporten over i mer ordinær drift.  SLA i form av oppetid vil være den samme som for ID-porten, og feilrettinger vil bli prioritert ihht de ordinære rutinene rundt fellesløsningene.
+
+Se [artikkel på Samarbeidsportalen](https://samarbeid.digdir.no/ansattporten/ansattporten-er-no-i-produksjon-som-ei-fullverdig-fellesloysing/2969).
+
+# Hvilken bruk-scenario støttes ? 
+
+Ansattporten tilbyr per nå tre brukerreiser:
+
+* [Vanlig innlogging (med isolert SSO)](ansattporten_guide.html)
+* [Innlogging på vegne av virksomhet](ansattporten_representasjon.html)
+* [Datadeling på vegne av virksomhet](ansattporten_datadeling.html)
+`;
+export {
+  e as default
+};

package/dist/general-B37q4SsA.js

@@ -0,0 +1,63 @@
+const e = `# Generelt om maskinporten
+
+## Overordnet arkitekturbeskrivelse
+
+Maskinporten er en tjeneste som tilbyr en enkel modell for API-sikring basert på OAuth2 protokollen og bruk av JWT-bearer grants, inspirert av [Google sine system-kontoer](https://developers.google.com/identity/protocols/OAuth2ServiceAccount).
+
+Maskinporten lar API-tilbydere definere tilganger til sine API, modellert som scopes, basert på konsumenten sine organisasjonsnummer.
+Dette kan gjøres via Maskinporten sine selvbetjeningsAPI eller webløsning.
+
+\`\`\`mermaid
+graph LR
+  subgraph API-tilbyder
+    API[API manager]
+  end
+  subgraph Digdir
+    MP[Maskinporten]
+  end
+
+  API -->|Gir tilgang til scope for API-konsument|MP
+
+\`\`\`
+
+Forutsatt at de riktige tilgangene er gitt, kan API-konsumenter nå opprette sine API-klientregistreringer med de tildelte scopene:
+
+\`\`\`mermaid
+graph LR
+subgraph Digdir
+  MP[Maskinporten]
+end
+  subgraph API-konsument
+    client[Administrasjonsklient]
+  end
+
+  client -->|opprette / endre klient med tildelte scopes |MP
+  MP -->|ny / endret klientregistrering|client
+\`\`\`
+
+Når klientene er registrert kan disse brukes for å få tildelt token og gjennomføre api-kallene.
+
+\`\`\`mermaid
+graph LR
+  subgraph API-tilbyder
+    API
+  end
+  subgraph Digdir
+    Maskinporten[Maskinporten]
+  end
+  subgraph API-konsument
+     ny[Klient]
+  end
+  Maskinporten -->|2.utsteder token med tildelt scope|ny
+  ny -->|1.forspør tilgang til scope|Maskinporten
+  ny -->|3.bruker token mot|API
+\`\`\`
+
+API-konsumenter kan selv administrere sine klientkonfigurasjoner og registrere disse med tildelte scopes fra tilbyderene.
+
+API-tilbydere og konsumenter kan bruke denne tjenesten for å styre tilgang i de tilfellene der informasjonsverdiene APIet tilbyr er regulert av lovhjemmel, og ikke krever samtykke av brukeren.
+
+Bruk av Maskinporten krever at begge aktørene bruker Maskinporten sin selvbetjeningsfunksjonalitet, enten gjennom webløsningen eller selvbetjeningsAPIet.`;
+export {
+  e as default
+};

package/dist/general-BCOYLf6V.js

@@ -0,0 +1,152 @@
+const e = `# Generelt om idporten
+ID-porten gjør innlogging til digitale tjenester trygt for innbyggere.  Se [produktsida for ID-porten på Samarbeidsportalen ](https://vg.no) for overordnet informasjon om hva ID-porten er, hva den koster og hvordan inngå bruksvilkår for å kunne ta den i bruk.
+
+## Introduksjon
+
+ID-porten tilbyr følgende bruksområder til kundene:
+
+* hei
+* [**API-sikring** i kontekst av en innlogget bruker]({{site.baseurl}}/docs/idporten/oidc/oidc_auth_oauth2), populært kalt brukerstyrt datadeling.
+* [Innlogging **på vegne av andre**]({{site.baseurl}}/docs/idporten/oidc/oidc_auth_fullmakt)
+
+
+## Arkitektur
+
+
+Arkitekturen for ID-porten ser slik ut:
+
+Selve ID-porten er basert på en moderne Oauth2/OIDC autorisasjonsserver fra Connect2ID.
+
+[SAML-grensesnittet]({{site.baseurl}}/docs/idporten/oidc/oidc_func_saml) er basert på en enkel proxy som oversetter kundens SAML-meldinger til OIDC-protokollen.
+
+Bemyndigede ansatte eller systemer bruker [Digdirs felles selvbetjeningsløsning på web eller over API](https://docs.digdir.no/docs/Maskinporten/maskinporten_sjolvbetjening_web)
+ til å registrere og vedlikeholde kundens integrasjoner.
+
+Følgende aktører inngår i løsningen:
+
+| Aktører | Beskrivelse |
+| ---- | ---- |
+| Sluttbruker | Innbygger med eID |
+| ID-porten | *ID-porten* er et tillitsanker for offentlige virksomheter. ID-porten knytter de offentlige virksomhetene og e-ID-leverandørene sammen. |
+| Kunde | Offentlig virksomhet som har akseptert bruksvilkår |
+| Tjenesteleverandør | Leverandør som leverer tjenester til en offentlig virksomhet |
+| API-tilbyder | Kunde som tilbyr APIer sikret med ID-porten. |
+| e-ID-leverandør | En av de 4 e-ID-aktørene som er tilgjengelige i ID-porten: MinID, Commfides, Buypass, BankID |
+| MinID | *MinID* er en offentlig utstedt e-ID på nivå betydelig, som tilbyr autentisering basert på engangskoder på sms eller app. |
+| Sertifikatutsteder | Sertifikatutsteder som oppfyller kravene for virksomhetssertifikater i henhold til Lov om Tillitstjenester. |
+
+| Felt | Krav |
+| ---- | ---- |
+| Filformat | .png .jpg eller .gif |
+| Størrelse | Maksimal høyde 90 pixel ... |
+| Farge | Bakgrunnsfargen på ID-porten ... |
+
+## Autentisering av sluttbruker
+ID-portens tjenestetilbud for autentisering kan funksjonelt oppsummeres slik:
+
+#### Støttede protokoller
+* OpenID Connect
+* SAML2 er kun tilgjengelig for de som ikke kan benytte OpenID Connect
+
+#### Føderering / SSO
+
+Dersom sluttbruker er innlogget hos tjenesteeier A og velger å gå videre til en tjenesteeier B uten å logge ut, vil bruker automatisk logges inn uten at bruker må autentisere seg på nytt.
+
+#### Sesjonsoppgradering
+
+Det er mulig for en sluttbruker å gjennomføre en autentisering på nivå 3 og seinere gå til en tjeneste som krever et høyere sikkerhetsnivå. I dette tilfellet vil ID-porten be brukeren om å oppgradere sikkerhetsnivå.
+
+#### Utenlandske brukere
+
+ID-porten har støtte for at ulike kategorier av [utenlandske brukere]({{site.baseurl}}/docs/idporten/oidc/oidc_func_utanlandske_brukarar) kan logge seg på norske tjenester. 
+
+
+## Brukerstyrt datadeling
+
+ID-porten kan også [styre tilgang til APIer hos 3dje.part]({{site.baseurl}}/docs/idporten/oidc/oidc_auth_oauth2)
+
+API-tilgangen kan være innloggingsbasert (implisitt samtykke) eller brukerstyrt (eksplisitt samtykke).  I begge tilfeller  gjelder autorisasjonen kun for en enkelt innbygger, ulikt [Maskinporten]({{site.baseurl}}/docs/Maskinporten/maskinporten_overordnet) som er tiltenkt hjemmelsbasert datadeling.
+
+API-tilganger i ID-porten er modellert som Oauth2 scopes. For tilgangsstyrte scopes er det et organisasjonummer (=API-konsument) som blir gitt tilgang av API-tilbyder.  API-konsument må så aktivt selv registrere det tildelte scopet på en av sine integrasjoner.
+
+
+## Hvordan få tilgang til ID-porten
+
+Følg prosessen på [Samarbeidsportalen](https://samarbeid.digdir.no/id-porten/ta-i-bruk-id-porten/94) for å integrere mot ID-porten.
+
+#### Bruk selvbetjening til å registere integrasjonen din
+
+Kunden bruker selvbetjeningsløsningen til å registrere påkrevd informasjon om integrasjonen sin. Dette er nærmere beskrevet under [klientregistrering]({{site.baseurl}}/docs/idporten/oidc/oidc_func_clientreg)
+
+#### Send oss logoen din
+
+Kunde må sende oss egen logo som blir brukt i innloggingsbildet. Logoen for tjenesten må oppfylle følgende krav:
+
+| --- | --- |
+| Filformat | .png .jpg eller .gif |
+| Størrelse | Maksimal høyde 90 pixel og en bredde som ikke bør overskride 135 pixel. |
+| Farge | Bakgrunnsfargen på ID-porten er #f3f4f4, så logoen bør enten ha denne bakgrunnsfargen eller eventuelt ha transparent bakgrunn. |
+
+#### Test din egen løsning
+
+Kunden må utføre en rekke verifikasjonstester for å bekrefte at integrasjonen oppfyller ID-portens krav.
+
+[Verifikasjonstester finner du her]({{site.baseurl}}/docs/idporten/idporten/idporten_verifikasjonstester).
+
+[Testbrukere finner du her]({{site.baseurl}}/docs/idporten/idporten/idporten_testbrukere).
+
+#### Åpne for IP-adresser
+
+Dersom kunden har utgående brannmur, må det [åpnes for ID-portens IP-adresse]({{site.baseurl}}/docs/general/IP).
+
+#### Sørg for tilstrekkelig egen logging
+
+Det anbefales at kunden logger følgende informasjon om forsøk på autentisering:
+* Dato og tidspunkt
+* Hvilken handling som ble forsøkt
+* Resultatet av handlingen
+* Brukerens IP-adresse  
+* SessionIndex / sid
+* Fødselsnummer
+
+Kunden sitt konkrete behov for logging opp mot personvernbetraktninger må vurderes av den enkelte kunde selv.
+
+#### Etabler gode IT-sikkerhetsrutiner i virksomheten
+
+Det er viktig at Kunden beskytter integrasjonen sin og etablerer rutiner slik at kun bemyndiget personell har tilgang til den. Se f.eks [anbefalinger for sertifikatbehandling, logging og sporing fra Veileder for virksomhetsautentisering](https://www.digdir.no/datadeling/sertifikatbehandling-logging-og-sporing/2438)
+
+Kunden skal også gjøre en risikovurdering av egen løsning, her anbefaler vi [avsnittet om valg av sikkerhetsnivå fra Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor](https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992#veiledning_for_valg_av_sikkerhetsniv_for_identifikasjon)
+
+
+
+
+#### Sørg for sikker håndtering av nøkler
+
+Det er sentralt for sikkerheten i løsningen at tjenesteleverandør planlegger og designer prosedyrer for god nøkkelhåndtering (Key management, uansett om dette er statiske hemmeligheter (client_secret), egne-generete asymmetriske nøkler eller virksomhetssertifikat.  
+
+Hvis en nøkkel kompromitteres, kan en angriper utgi seg for å være kunde i dialogen med ID-porten og dekryptere persondata sendt fra ID-porten. Slike sikkerhetsbrudd vil formodentlig i særlig grad ramme tilliten til kunden, men kan også tenkes å svekke tilliten til hele føderasjonen.
+
+Følgende punkter er det viktig at man tenker gjennom i forbindelse med nøkkelhåndtering:
+* Hvor oppbevares private nøkler, og hvordan sikres adgang til dem? For optimal beskyttelse kan en nøkkel oppbevares i kryptografisk hardware (HSM – hardware security module), men ofte benyttes krypterte filer som et billig, men mindre sikkert alternativ.
+* Hvordan håndteres backup av nøkler og hvordan gjenetableres disse ved behov?
+* Hvilket personell har tilgang til servere med private nøkler, og hvem har eventuelt tilgang til passord som kan benyttes til å dekryptere nøklene slik at de opptrer i klartekst? Kan enkeltpersoner skaffe seg adgang til private nøkler? Ligger passord for tilgang til nøkkellager ubeskyttet i konfigurasjonsfiler?
+* Hvordan håndteres fornyelse av nøkler når tilhørende sertifikater utløper? Hvis en tjenesteleverandør ikke fornyer nøkler/sertifikater innen de utløper, kan tjenester for tjenesteeier plutselig slutte å virke.
+* Hva er prosedyren om en privat nøkkel kompromitteres, eller om det er mistanke om at så har skjedd?
+* Hvordan loggføres nøkkelhåndteringsprosessen hos tjenesteleverandør?
+
+En kunde bør analysere disse problemstillingene nøye, og utarbeide passende driftsprosedyrer som implementerer organisasjonens IT sikkerhetspolitikk.
+
+
+#### Bruk av virksomhetssertifikat
+
+Vi anbefaler at kunder bruker virksomhetssertifikat til oppkobling mot ID-porten. For kunder som har mange integrasjoner, bør man heller vurdere å bruke virksomhetssertifikatet til å  automatisere integrasjonsvedlikeholdet slik at hver enkelt-integrasjon istedet bruker en assymetrisk nøkkel til oppkobling og denne blir rotert hyppig.
+
+Merk at sertifikatutstedere av virksomhetssertifikat har noe bestillingstid. Tjenesteleverandører oppfordres til å bestille sertifikat i god tid.
+
+
+## Problemer ?
+
+Om du opplever problemer med integrasjonen din: Kontakt servicedesk@digdir.no oppgi client_id og miljø og forklar problemet.`;
+export {
+  e as default
+};

package/dist/general-CQFRRoeE.js

@@ -0,0 +1,63 @@
+const e = `# Generelt om maskinporten
+
+## Overordnet arkitekturbeskrivelse
+
+Maskinporten er en tjeneste som tilbyr en enkel modell for API-sikring basert på OAuth2 protokollen og bruk av JWT-bearer grants, inspirert av [Google sine system-kontoer](https://developers.google.com/identity/protocols/OAuth2ServiceAccount).
+
+Maskinporten lar API-tilbydere definere tilganger til sine API, modellert som scopes, basert på konsumenten sine organisasjonsnummer.
+Dette kan gjøres via Maskinporten sine selvbetjeningsAPI eller webløsning.
+
+\`\`\`mermaid
+graph LR
+  subgraph API-tilbyder
+    API[API manager]
+  end
+  subgraph Digdir
+    MP[Maskinporten]
+  end
+
+  API -->|Gir tilgang til scope for API-konsument|MP
+
+\`\`\`
+
+Forutsatt at de riktige tilgangene er gitt, kan API-konsumenter nå opprette sine API-klientregistreringer med de tildelte scopene:
+
+\`\`\`mermaid
+graph LR
+subgraph Digdir
+  MP[Maskinporten]
+end
+  subgraph API-konsument
+    client[Administrasjonsklient]
+  end
+
+  client -->|opprette / endre klient med tildelte scopes |MP
+  MP -->|ny / endret klientregistrering|client
+\`\`\`
+
+Når klientene er registrert kan disse brukes for å få tildelt token og gjennomføre api-kallene.
+
+\`\`\`mermaid
+graph LR
+  subgraph API-tilbyder
+    API
+  end
+  subgraph Digdir
+    Maskinporten[Maskinporten]
+  end
+  subgraph API-konsument
+     ny[Klient]
+  end
+  Maskinporten -->|2.utsteder token med tildelt scope|ny
+  ny -->|1.forspør tilgang til scope|Maskinporten
+  ny -->|3.bruker token mot|API
+\`\`\`
+
+API-konsumenter kan selv administrere sine klientkonfigurasjoner og registrere disse med tildelte scopes fra tilbyderene.
+
+API-tilbydere og konsumenter kan bruke denne tjenesten for å styre tilgang i de tilfellene der informasjonsverdiene APIet tilbyr er regulert av lovhjemmel, og ikke krever samtykke av brukeren.
+
+Bruk av Maskinporten krever at begge aktørene bruker Maskinporten sin selvbetjeningsfunksjonalitet, enten gjennom webløsningen eller selvbetjeningsAPIet.`;
+export {
+  e as default
+};

package/dist/general-Dk7lWiBC.js

@@ -0,0 +1,152 @@
+const e = `# Generelt om idporten
+ID-porten gjør innlogging til digitale tjenester trygt for innbyggere.  Se [produktsida for ID-porten på Samarbeidsportalen ](https://vg.no) for overordnet informasjon om hva ID-porten er, hva den koster og hvordan inngå bruksvilkår for å kunne ta den i bruk.
+
+## Introduksjon
+
+ID-porten tilbyr følgende bruksområder til kundene:
+
+* hei
+* [**API-sikring** i kontekst av en innlogget bruker]({{site.baseurl}}/docs/idporten/oidc/oidc_auth_oauth2), populært kalt brukerstyrt datadeling.
+* [Innlogging **på vegne av andre**]({{site.baseurl}}/docs/idporten/oidc/oidc_auth_fullmakt)
+
+
+## Arkitektur
+
+
+Arkitekturen for ID-porten ser slik ut:
+
+Selve ID-porten er basert på en moderne Oauth2/OIDC autorisasjonsserver fra Connect2ID.
+
+[SAML-grensesnittet]({{site.baseurl}}/docs/idporten/oidc/oidc_func_saml) er basert på en enkel proxy som oversetter kundens SAML-meldinger til OIDC-protokollen.
+
+Bemyndigede ansatte eller systemer bruker [Digdirs felles selvbetjeningsløsning på web eller over API](https://docs.digdir.no/docs/Maskinporten/maskinporten_sjolvbetjening_web)
+ til å registrere og vedlikeholde kundens integrasjoner.
+
+Følgende aktører inngår i løsningen:
+
+| Aktører | Beskrivelse |
+| ---- | ---- |
+| Sluttbruker | Innbygger med eID |
+| ID-porten | *ID-porten* er et tillitsanker for offentlige virksomheter. ID-porten knytter de offentlige virksomhetene og e-ID-leverandørene sammen. |
+| Kunde | Offentlig virksomhet som har akseptert bruksvilkår |
+| Tjenesteleverandør | Leverandør som leverer tjenester til en offentlig virksomhet |
+| API-tilbyder | Kunde som tilbyr APIer sikret med ID-porten. |
+| e-ID-leverandør | En av de 4 e-ID-aktørene som er tilgjengelige i ID-porten: MinID, Commfides, Buypass, BankID |
+| MinID | *MinID* er en offentlig utstedt e-ID på nivå betydelig, som tilbyr autentisering basert på engangskoder på sms eller app. |
+| Sertifikatutsteder | Sertifikatutsteder som oppfyller kravene for virksomhetssertifikater i henhold til Lov om Tillitstjenester. |
+
+| Felt | Krav |
+| ---- | ---- |
+| Filformat | .png .jpg eller .gif |
+| Størrelse | Maksimal høyde 90 pixel ... |
+| Farge | Bakgrunnsfargen på ID-porten ... |
+
+## Autentisering av sluttbruker
+ID-portens tjenestetilbud for autentisering kan funksjonelt oppsummeres slik:
+
+#### Støttede protokoller
+* OpenID Connect
+* SAML2 er kun tilgjengelig for de som ikke kan benytte OpenID Connect
+
+#### Føderering / SSO
+
+Dersom sluttbruker er innlogget hos tjenesteeier A og velger å gå videre til en tjenesteeier B uten å logge ut, vil bruker automatisk logges inn uten at bruker må autentisere seg på nytt.
+
+#### Sesjonsoppgradering
+
+Det er mulig for en sluttbruker å gjennomføre en autentisering på nivå 3 og seinere gå til en tjeneste som krever et høyere sikkerhetsnivå. I dette tilfellet vil ID-porten be brukeren om å oppgradere sikkerhetsnivå.
+
+#### Utenlandske brukere
+
+ID-porten har støtte for at ulike kategorier av [utenlandske brukere]({{site.baseurl}}/docs/idporten/oidc/oidc_func_utanlandske_brukarar) kan logge seg på norske tjenester. 
+
+
+## Brukerstyrt datadeling
+
+ID-porten kan også [styre tilgang til APIer hos 3dje.part]({{site.baseurl}}/docs/idporten/oidc/oidc_auth_oauth2)
+
+API-tilgangen kan være innloggingsbasert (implisitt samtykke) eller brukerstyrt (eksplisitt samtykke).  I begge tilfeller  gjelder autorisasjonen kun for en enkelt innbygger, ulikt [Maskinporten]({{site.baseurl}}/docs/Maskinporten/maskinporten_overordnet) som er tiltenkt hjemmelsbasert datadeling.
+
+API-tilganger i ID-porten er modellert som Oauth2 scopes. For tilgangsstyrte scopes er det et organisasjonummer (=API-konsument) som blir gitt tilgang av API-tilbyder.  API-konsument må så aktivt selv registrere det tildelte scopet på en av sine integrasjoner.
+
+
+## Hvordan få tilgang til ID-porten
+
+Følg prosessen på [Samarbeidsportalen](https://samarbeid.digdir.no/id-porten/ta-i-bruk-id-porten/94) for å integrere mot ID-porten.
+
+#### Bruk selvbetjening til å registere integrasjonen din
+
+Kunden bruker selvbetjeningsløsningen til å registrere påkrevd informasjon om integrasjonen sin. Dette er nærmere beskrevet under [klientregistrering]({{site.baseurl}}/docs/idporten/oidc/oidc_func_clientreg)
+
+#### Send oss logoen din
+
+Kunde må sende oss egen logo som blir brukt i innloggingsbildet. Logoen for tjenesten må oppfylle følgende krav:
+
+| --- | --- |
+| Filformat | .png .jpg eller .gif |
+| Størrelse | Maksimal høyde 90 pixel og en bredde som ikke bør overskride 135 pixel. |
+| Farge | Bakgrunnsfargen på ID-porten er #f3f4f4, så logoen bør enten ha denne bakgrunnsfargen eller eventuelt ha transparent bakgrunn. |
+
+#### Test din egen løsning
+
+Kunden må utføre en rekke verifikasjonstester for å bekrefte at integrasjonen oppfyller ID-portens krav.
+
+[Verifikasjonstester finner du her]({{site.baseurl}}/docs/idporten/idporten/idporten_verifikasjonstester).
+
+[Testbrukere finner du her]({{site.baseurl}}/docs/idporten/idporten/idporten_testbrukere).
+
+#### Åpne for IP-adresser
+
+Dersom kunden har utgående brannmur, må det [åpnes for ID-portens IP-adresse]({{site.baseurl}}/docs/general/IP).
+
+#### Sørg for tilstrekkelig egen logging
+
+Det anbefales at kunden logger følgende informasjon om forsøk på autentisering:
+* Dato og tidspunkt
+* Hvilken handling som ble forsøkt
+* Resultatet av handlingen
+* Brukerens IP-adresse  
+* SessionIndex / sid
+* Fødselsnummer
+
+Kunden sitt konkrete behov for logging opp mot personvernbetraktninger må vurderes av den enkelte kunde selv.
+
+#### Etabler gode IT-sikkerhetsrutiner i virksomheten
+
+Det er viktig at Kunden beskytter integrasjonen sin og etablerer rutiner slik at kun bemyndiget personell har tilgang til den. Se f.eks [anbefalinger for sertifikatbehandling, logging og sporing fra Veileder for virksomhetsautentisering](https://www.digdir.no/datadeling/sertifikatbehandling-logging-og-sporing/2438)
+
+Kunden skal også gjøre en risikovurdering av egen løsning, her anbefaler vi [avsnittet om valg av sikkerhetsnivå fra Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor](https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992#veiledning_for_valg_av_sikkerhetsniv_for_identifikasjon)
+
+
+
+
+#### Sørg for sikker håndtering av nøkler
+
+Det er sentralt for sikkerheten i løsningen at tjenesteleverandør planlegger og designer prosedyrer for god nøkkelhåndtering (Key management, uansett om dette er statiske hemmeligheter (client_secret), egne-generete asymmetriske nøkler eller virksomhetssertifikat.  
+
+Hvis en nøkkel kompromitteres, kan en angriper utgi seg for å være kunde i dialogen med ID-porten og dekryptere persondata sendt fra ID-porten. Slike sikkerhetsbrudd vil formodentlig i særlig grad ramme tilliten til kunden, men kan også tenkes å svekke tilliten til hele føderasjonen.
+
+Følgende punkter er det viktig at man tenker gjennom i forbindelse med nøkkelhåndtering:
+* Hvor oppbevares private nøkler, og hvordan sikres adgang til dem? For optimal beskyttelse kan en nøkkel oppbevares i kryptografisk hardware (HSM – hardware security module), men ofte benyttes krypterte filer som et billig, men mindre sikkert alternativ.
+* Hvordan håndteres backup av nøkler og hvordan gjenetableres disse ved behov?
+* Hvilket personell har tilgang til servere med private nøkler, og hvem har eventuelt tilgang til passord som kan benyttes til å dekryptere nøklene slik at de opptrer i klartekst? Kan enkeltpersoner skaffe seg adgang til private nøkler? Ligger passord for tilgang til nøkkellager ubeskyttet i konfigurasjonsfiler?
+* Hvordan håndteres fornyelse av nøkler når tilhørende sertifikater utløper? Hvis en tjenesteleverandør ikke fornyer nøkler/sertifikater innen de utløper, kan tjenester for tjenesteeier plutselig slutte å virke.
+* Hva er prosedyren om en privat nøkkel kompromitteres, eller om det er mistanke om at så har skjedd?
+* Hvordan loggføres nøkkelhåndteringsprosessen hos tjenesteleverandør?
+
+En kunde bør analysere disse problemstillingene nøye, og utarbeide passende driftsprosedyrer som implementerer organisasjonens IT sikkerhetspolitikk.
+
+
+#### Bruk av virksomhetssertifikat
+
+Vi anbefaler at kunder bruker virksomhetssertifikat til oppkobling mot ID-porten. For kunder som har mange integrasjoner, bør man heller vurdere å bruke virksomhetssertifikatet til å  automatisere integrasjonsvedlikeholdet slik at hver enkelt-integrasjon istedet bruker en assymetrisk nøkkel til oppkobling og denne blir rotert hyppig.
+
+Merk at sertifikatutstedere av virksomhetssertifikat har noe bestillingstid. Tjenesteleverandører oppfordres til å bestille sertifikat i god tid.
+
+
+## Problemer ?
+
+Om du opplever problemer med integrasjonen din: Kontakt servicedesk@digdir.no oppgi client_id og miljø og forklar problemet.`;
+export {
+  e as default
+};

package/dist/general-QQfgnjEE.js

@@ -0,0 +1,89 @@
+const e = `# Generelt om ansattporten
+Ansattporten er en egen innloggingtjeneste med funksjonalitet som er tilpasset bruk som ansatt eller i andre situasjoner der en nett-tjeneste eller et API har behov for at sluttbruker må opptre i et representasjonsforhold på vegne av virksomheter.
+
+\`\`\`mermaid
+graph LR
+  I(ID-porten)
+  A(Ansattporten)
+  IRP(Tjeneste for innbygger)
+  ARP(Tjeneste for ansatte)
+
+  eid["Privat eID-leverandør 
+  (MinID, BankID, etc... )"]
+  ak[("Autorativ kilde
+(Altinn Autorisasjon)")]
+  aid["Ansatt-eid
+(pilot: Microsoft Entra ID)"]
+
+  IRP -. integrert mot .- I 
+  I -. videreformidler innlogging fra  .- eid
+
+  ARP -. integrert mot .-> A
+  A -. videreformidler innlogging fra .-> eid 
+  A -.-> |henter representasjon fra | ak
+
+  A -...- | videreformidler innlogging og representasjon fra | aid
+\`\`\`
+
+Disse viktigste egenskapene ved Ansattporten er som følger:
+
+### Egen "port"
+
+Ansattporten er en selvstendig tjeneste som er uavhengig av ID-porten.  Det betyr at tjenester i ID-porten ikke er mulig å nå fra Ansattporten og vice versa. 
+
+Samtidig så deler ID-porten og Ansattporten samme kildekode-base, så det er i praksis bare litt konfigurasjon og tilpasset funksjonalitet som skiller de to portene teknisk.  Som hovedregel vil oppdateringer, feilrettinger og ny funksjonalitet bli rullet ut mer eller mindre samtidig til begge portene. Ansattporten tilbyr også de samme elektroniske ID'ene som er tilbudt av ID-porten, dvs. MinID, BankID, Buypass og Commfides.
+
+Protokollmessig sier vi at Ansattporten er en egen Oauth2 autorisasjonsserver / OpenID Provider, identifisert ved sin \`issuer\`-verdi.
+
+
+### Ingen SSO-funksjonalitet mellom tjenester
+
+Som forklart ovenfor, så er ID-porten og Ansattporten isolert fra hverandre som separate OpenID providere. Det er derfor ikke mulig å få single-sign on (SSO) mellom ansatt-tjenester i Ansattporten til innbygger-tjenester i ID-porten.  
+
+Men til forskjell fra ID-porten så tilbyr ikke Ansattporten SSO mellom de ulike tjenestene heller.  Dette er realisert ved at alle klienter får tvangs-satt flagget som aktiverer funksjonaliteten [isolert sso-sesjon](../../docs/idporten/oidc/oidc_func_nosso.html).
+
+### Autorative kilder for representasjon
+
+Ansattporten kan brukes enten til ordinær punktinnlogging, eller til å kreve at innlogga bruker må ha et bestemt representasjonsforhold for en virksomhet.   Ansattporten har ikke - og vil aldri få - sin egen database/register over roller/rettigheter, men baserer seg på eksterne, autorative kilder for representasjonsforhold.
+
+Dersom tjenesten krever representasjon, vil Ansattporten vise en organisasjonsvelger til brukeren, som er forhåndspopulert basert den autorative kilden.
+
+I dag er det kun Altinn Autorisasjon som er støttet som autorativ kilde. 
+
+
+# Hvem kan bruke Ansattporten ?
+
+Alle kunder som har inngått Digdir sine bruksvilkår for fellesløsninger kan bruke Ansattporten til ordinær punkt-autentisering på samme måte som de gjør i ID-porten idag.
+
+Men bare kunder som også er tjenesteeier i Altinn, kan bruke funksjonaliteten med organisasjonsvelger og tilgangstyring basert på representasjonsforhold i Altinn Autorisasjon.
+
+
+# Hva koster Ansattporten ?
+
+P.t. har Ansattporten samme finansieringsmodell som ID-porten.  200.000-innnloggingskvoten er felles for de to portene.
+
+Merk at finansieringsmodell trolig vil endres i fremtiden.
+
+
+# Hvordan administrerer jeg Ansattporten ?
+
+På akkurat samme måte som for ID-porten, men du må passe på at integrasjonene du opprette i selvbetjening har \`integration_type\` satt til \`ansattporten\`.
+
+
+# Er Ansattporten fremdeles i pilot-status? 
+
+Fra 2025 går Ansattporten over i mer ordinær drift.  SLA i form av oppetid vil være den samme som for ID-porten, og feilrettinger vil bli prioritert ihht de ordinære rutinene rundt fellesløsningene.
+
+Se [artikkel på Samarbeidsportalen](https://samarbeid.digdir.no/ansattporten/ansattporten-er-no-i-produksjon-som-ei-fullverdig-fellesloysing/2969).
+
+# Hvilken bruk-scenario støttes ? 
+
+Ansattporten tilbyr per nå tre brukerreiser:
+
+* [Vanlig innlogging (med isolert SSO)](ansattporten_guide.html)
+* [Innlogging på vegne av virksomhet](ansattporten_representasjon.html)
+* [Datadeling på vegne av virksomhet](ansattporten_datadeling.html)
+`;
+export {
+  e as default
+};

package/dist/gitGraph-F6HP7TQM-ChFlbGFG.js

@@ -0,0 +1,5 @@
+import { G as a, f as G } from "./mermaid-parser.core-C-16ojim.js";
+export {
+  a as GitGraphModule,
+  G as createGitGraphServices
+};