Spørsmål og svar

Her har vi samlet spørsmål og svar knyttet til bruk av sluttbrukersystemer i Altinn.

Opprettet: 23. mai 2025 Sist endret: 16. oktober 2025

Hvilke roller i virksomheten kan signere på bruksvilkår for sluttbrukersystemleverandører?
Svar: I punkt 1.1 i våre bruksvilkår fremgår det at vilkårene må signeres av en bemyndiget person. Dette innebærer at det er virksomheten selv som er ansvarlig for å påse at personen som signerer på vegne av virksomheten, har fått nødvendig fullmakt til dette.

Kan vi ha flere kontaktpersoner i registreringsskjemaet?
Svar: Ja, i punkt tre er det mulig å skrive inn flere navn og epostadresser.

Stemmer det at vi ikke lenger må kjøpe Altinn virksomhetssertifikat fra Commfides eller Buypass?
Svar: Innlogging med virksomhetssertifikat er utgående. Ved bruk av Maskinporten (med eller uten systembruker) og ID-porten er det ikke nødvendig med virksomhetssertifikat.

Vi skal bruke et API fra Skatteetaten, og dette API-et er ikke utviklet enda. Hvor langt i integrasjonsprosessen kan vi komme mens vi venter? Kan vi få gjort unna den delen som omhandler Maskinporten, eller kreves det at API-et vi skal bruke finnes under "Apper i produksjon"?
Svar: Det kommer litt an på hvilket API det gjelder, men dersom Maskinporten-scope allerede er opprettet for tjenesten, kan den delen av prosessen startes.

For en leverandør av et lønnssystem som tar i bruk Maskinporten: Er det kostnader for oss som bygger alle tjenestene selv? Eller gjelder kostnaden kun de som benytter Altinn Studio?
Svar: Egenutviklet løsning med direkte integrasjon mot Maskinporten har ingen kostnader. Ved bruk av Altinn Studio er det kostnader knyttet til transaksjoner, infrastruktur og etablering.

Blir kvitteringen tilgjengelig umiddelbart etter at innsendingen er fullført, eller må en forvente noe forsinkelse?
Svar: Kvitteringen blir generert som en del av siste steg, og blir tilgjengelig umiddelbart.

Når blir klientbiblioteker for autorisasjon tilgjengelig?
Svar: Her er vi helt i planleggingsfasen, og har ikke noe konkret å vise til enda.

For innsending av årsregnskap, kan autorisasjon bli gitt både av Maskinporten og ID-porten?
Altinn-apper kan velge å støtte autentisering med både Maskinporten og ID-porten. Tjenesteeier må svare på hvilke valg de har tatt i den konkrete appen for årsregnskap.

  • I dokumentasjonen står det at man må bruke systembruker for å opprette agentsystembruker. Er dette riktig, og hvordan fungerer den prosessen?

Her er det en feil i dokumentasjonen, som vil rettes innen kort tid.

Riktig prosess:
- Ha et registrert system hos Altinn.
- Systemleverandøren sender forespørsel om Systembruker for klientforhold.
- Altinn gir en lenke som leverandøren deler sikkert med sluttbrukeren.
- Sluttbrukeren godkjenner i Altinn.
- Systembruker for klientforhold kan deretter brukes til å representere flere klienter.

  • Hva er forskjellen på en systembruker og en agentsystembruker?

Systembruker for eget system:
Brukes når en virksomhet eller person leverer tjenester for seg selv. Den representerer kun én juridisk enhet og kan ikke ha klienter tilknyttet.

Systembruker for klientforhold:
Brukes når en tjenesteleverandør (f.eks. et regnskapsbyrå) leverer på vegne av flere klienter. Denne typen kan ha flere klienter knyttet til seg og krever en godkjenningsprosess via Altinn

  • Kan en systembruker være tilknyttet flere systembrukeragenter? Med andre ord – kan ett selskap være knyttet til flere agenter?

Ja, ett selskap være knyttet til flere klienter:

Et selskap kan være kunde hos flere systemleverandører, og hver leverandør kan opprette sin egen Systembruker for klientforhold.

Knytningen skjer mellom det registrerte systemet (hos leverandøren) og organisasjonsnummeret til kunden.

Dermed kan samme selskap være tilknyttet flere agent‑systembrukere, for eksempel én for regnskap og én for HR.

  • Hvordan er flyten for at man er identifisert som en systemleverandør for å deretter få denne agentsystembrukeren?

1. Systemleverandør identifiseres ved at de har et registrert system hos Altinn. Nærmere beskrivelse finner du her: https://samarbeid.digdir.no/altinn/kom-i-gang/2868

2. Leverandøren sender en forespørsel om å opprette Systembruker for klientforhold via API eller integrasjon.

3. Altinn returnerer en lenke som leverandøren må dele sikkert med sluttbrukeren.

4. Sluttbrukeren logger inn i Altinn og godkjenner forespørselen.

5. Når godkjenningen er fullført, kan Systembrukeren for klientforhold brukes til å representere flere klienter. (Eksempel: regnskapsbyrå som leverer for mange kunder.)

  • I endringsflyt for systembruker som kommer i dag – støtter den også agent?

Endringsflyten for systembruker støtter også Systembruker for klientforholde. Når en endringsforespørsel sendes inn, får man tilbake en respons med en lenke som må deles sikkert med kunden. Hvis flere endringsforespørsler opprettes samtidig, er det den sist aksepterte forespørselen som gjelder. Hver endringsforespørsel må ha en unik korrelasjons-ID. Det er opp til leverandøren hvilken forespørsel som vises til kunden; hvis kunden får flere lenker, mister leverandøren kontroll over hva som godkjennes.

  • Hva skjer om man oppretter to aktive endringsforespørsler – er det mulig, og vinner sist aksepterte endringsforespørsel?

Ja, det er mulig, men hver forespørsel må ha en unik korrelasjons-ID. Den sist aksepterte forespørselen vinner, altså den som sluttbrukeren godkjenner sist, blir gjeldende. Det er leverandørens ansvar å styre hvilke forespørsler som vises til kunden. Hvis kunden får flere lenker og godkjenner begge, mister leverandøren kontroll over rekkefølgen.

  • Så vidt jeg kan se har vi i dag ikke mulighet til å bruke tilgangspakker med vanlige systembrukere. Stemmer det, og vil det i så fall bli mulig?

Ja, det stemmer at det så langt ikke har vært mulig å bruke tilgangspakker med Systembrukere for eget system, men dette er i ferd med å endres:

Det er allerede en versjon i test som gir støtte for tilgangspakker også for Systembrukere for eget system. Denne er planlagt i produksjon fra 1. desember.

Systembrukere for klientforhold har hatt støtte for tilgangspakker hele tiden.

  • Hvordan ser det ut i sluttbrukers Altinn-oversikt når man har lagt til en eller flere systembrukere? Jeg har testet med en systembruker i dag jeg ikke ser i Altinn.

Per dags dato er det ikke synlig i Altinns vanlige oversikt når du har lagt til en eller flere Systembrukere for eget system.

Det finnes ingen innboks eller GUI som viser ventende eller eksisterende systembrukerforespørsler.

Den eneste inngangen er den dype lenken som returneres i responsen når forespørselen opprettes. Denne må systemet ta vare på og gi til brukeren på en trygg måte.

Dette kan bli bedre senere, men per nå er det ikke implementert i Altinn-portalen.

  • Jeg trodde systembrukere bare hadde tilgangspakker, og ikke roller – og personbrukere skulle få tilgangspakker etter hvert. Er det forskjell på systembruker og agentsystembruker når det gjelder dette?

Systembrukere har ingen knytning til Altinn-rollene som nå fases ut. Tilgangsstyring her skjer på ressurser (Systembrukere for eget system) eller tilgangspakker (Systembrukere for klientforhold og Systembrukere for eget system). Personbrukere kan fortsatt få tilgang via Altinn-rollene, men også snart via tilgangspakker.

Forskjellen mellom systembruker for eget system og Systembruker for klientforhold er ikke i hvordan tilgang gis, men i bruksområdet:

- Systembruker for eget system: Jobber på vegne av egen virksomhet.
- Systembruker for klientforhold: Brukes av en tredjepart (f.eks. regnskapsfører) for å representere flere klienter.

  • Har dere anbefalinger ift. hvordan fordele rettighetene på flere systembrukere?

Ha så få tilganger som mulig per systembruker – dette er den sikreste tilnærmingen.

Samtidig må det tilpasses arbeidsprosessen. Hvis ett system jobber mot flere tjenester (f.eks. NAV og Skatteetaten), kan det være fornuftig å samle disse i én systembruker for det caset.

Unngå å lage én systembruker med «alle rettigheter» hvis det ikke er nødvendig, da dette øker risikoen ved misbruk.

  • Dersom man legger til flere rettigheter på en systembruker, og klienter allerede har godkjent med de gamle rettighetene, hvordan håndteres dette?

Når du legger til flere rettigheter (tilgangspakker) på en eksisterende systembruker, og klientene allerede har godkjent tidligere rettigheter, så brukes endringsforespørsel-mekanismen:

Du sender inn en endringsforespørsel for den aktuelle systembrukeren.

Endringsforespørselen kan inneholde én eller flere nye tilgangspakker.

Viktig: Operasjonen er idempotent add – det betyr at nye pakker legges til uten å fjerne de gamle.

Klienten må godkjenne endringen via en ny lenke (samme prosess som ved opprettelse).

Eksisterende rettigheter forblir aktive til endringen er godkjent.

  • Forstod jeg det riktig at på en agentbruker som er knyttet til 1000 klienter, må man inn og endre for én og én?

Ja, i dagens løsning må endringer gjøres per klient i brukergrensesnittet. For å håndtere store volumer mer effektivt anbefales det å bruke API-et, som gjør det mulig å automatisere prosessen (for eksempel med en løkke som legger til alle klientene programmatisk).

  • Hvis et selskap mottar en systembrukerforespørsel med flere scopes eller access packages, men bare ønsker å autorisere én av dem – hvordan kan dette gjøres?

Det er ikke mulig å godkjenne bare deler av en forespørsel. Når en systembrukerforespørsel er opprettet, gjelder prinsippet «alt eller ingenting». Hvis kunden kun skal gi tilgang til et utvalg av rettighetene, må systemleverandøren opprette en ny forespørsel som kun inneholder de ønskede tilgangene.

  • Jeg har tidligere etterlyst et API for å sjekke om en agentbruker har rettigheter for et gitt organisasjonsnummer. Er dette noe dere ser på?

Per i dag finnes det ikke et eget API for dette. Den eneste kontrollen skjer gjennom Maskinporten, som spør Altinn om rettigheter når et token brukes. Det er foreløpig ikke planlagt å eksponere dette endepunktet for systemleverandører, fordi det mangler underliggende data for å løse det på en god måte. Teamet har ikke landet en løsning ennå.

  • Kan dere gå igjennom hvordan en systembruker opprettes?

Følg dokumentasjon for opprettelse av systembruker: https://docs.altinn.studio/nb/authorization/guides/system-vendor/system-user/systemuserrequest/

  • Finnes det en oversikt i Altinn Access Management for ventende systembrukerforespørsler, og er det planlagt en GUI-løsning for godkjenning?

Nei, det finnes per i dag ingen innboks eller oversikt i Altinn-portalen for ventende forespørsler. Den eneste inngangen er den dype lenken som returneres i API-responsen ved opprettelse. Det er heller ikke planlagt en GUI-løsning for dette, men status på forespørsler kan hentes via API.

  • Typisk case: Bruker av sluttbrukersystem har ikke tilgang til å godkjenne, men må få en annen til å logge inn i Altinn og godkjenne – hvordan håndteres dette?

Det finnes ikke en innboks eller oversikt i Altinn-portalen der slike forespørsler automatisk vises. Den eneste måten å godkjenne forespørselen på er via den dype lenken som systemleverandøren mottar i responsen ved opprettelse. Denne lenken må systemet selv ta vare på og distribuere til riktig person (f.eks. daglig leder) på en trygg måte.

  • I tilfeller der man skal signere en innsendelse og bruker Maskinporten-token (f.eks. innsendelse av signert årsregnskap): Sender man da inn med Maskinporten-token og signerer med ID-porten-token? Finnes det scenarier der man benytter både Maskinporten og ID-porten?

Ja, det finnes scenarioer der man benytter både Maskinporten og ID-porten. Man kan sende inn data med Maskinporten-token og deretter signere med ID-porten-token. Dette er spesielt aktuelt ved innsendelse av signert årsregnskap, hvor selve innsendingen skjer via Maskinporten, mens signeringen gjøres med ID-porten for å sikre sporbarhet. Brønnøysundregistrene har åpnet for begge metoder, og det er mulig å bruke samme API med enten Maskinporten-token eller ID-porten-token, avhengig av behov og rollefordeling.

  • Det er også mulig å gjøre alt med ID-porten-bruker, både i portal og via API, og aldri bruke systembruker – stemmer det?

Ja, det er mulig. Man kan bruke ID-porten-bruker til å utføre hele prosessen – både innsending og signering – uten å benytte systembruker. Dette gjelder både via Altinn-portalen og via API. Det ble nevnt at Brønnøysundregistrene har åpnet for begge metoder, og at samme API kan benyttes med ID-porten-token for å sikre sporbarhet, som systembruker ikke tilbyr.

  • I TT02 får vi feilmeldingen 401 Unauthorized for party (agent-systembruker, tilgangspakke regnskapsfører med full signeringsrettighet, sender inn på vegne av systembrukerens kunder). Vet dere hva som typisk mangler i oppsettet for denne feilen?

For konkret feilsøking trenger vi at dere sender så mye info dere har til servicedesk@altinn.no. Nøyaktig klokkeslett og evt traceid er spesielt nyttig.

  • Hvordan kan systemleverandører som ikke har norsk organisasjonsnummer eller norsk ID-/D-nummer registrere sitt system?

Det er ikke mulig å registrere et system uten norsk organisasjonsnummer. Systemet må være registrert i Enhetsregisteret, og det valideres mot dette ved opprettelse. Det holder ikke å ha et personnummer – det må være et organisasjonsnummer. Dersom utviklerne eller eierne av systemet sitter i utlandet, må de ha et norsk søsterselskap med organisasjonsnummer som kan stå som systemeier.

  • API-et for «klientdelegering» som kommer – krever det at kunden delegerer full klientadministrator-rettighet til systemet/systemleverandøren?

Ja, API-et for klientdelegering krever at kunden gir klientadministrator-rettighet til systemleverandøren. Dette skjer via ID-porten med riktig scope, og det er en forutsetning for at systemleverandøren skal kunne administrere klienter på vegne av kunden.

  • Det blir vanskelig med to systembrukere, der de enten er for seg selv med Ordinær eller om de er for andre med Agent

Å bruke samme systembruker både for eget system og klientforhold vil kreve nyutvikling hos Altinn, og vi har ikke noe tidshorisont som vi kan kommunisere ut for det nå.

  • Bruke EIDAS for å logge inn i Maskinporten, for å kunne opprette et system

Det vil i så fall kreve ny utvikling hos Altinn, og vi har ikke noe tidshorisont som vi kan kommunisere ut for det nå.

  • Vi skal integrere mot Miljødirektoratets "avfallsdeklarering.no" via en integrasjonsplattform. Hvordan fungerer pålogging med en Altinn systembruker i praksis for en slik maskin-til-maskin-løsning? Vi ønsker en upersonlig pålogging uten brukerinteraksjon (som pop-ups for BankID), gjerne via et token.

Systembruker er designet for akkurat dette. Det gir en upersonlig, langtlevende pålogging på vegne av virksomheten (i dette tilfellet Norsk Gjenvinning).

- Løsningen bruker et langtlevende token som dere benytter mot etatens API. Levetiden på dette tokenet styrer dere selv.

- I motsetning til personlig pålogging via ID-porten, hvor handlinger spores til en enkeltperson, spores handlinger med systembruker tilbake til virksomheten.

- For å sette dette opp, må dere opprette en systembruker. Prosessen for dette er beskrevet på dokumentasjonssidene.

  • Er "klientdelegerings-API-et" nå tilgjengelig i produksjon?

Ja, klientdelegerings-API-et ble produksjonssatt i går ettermiddag (14. oktober). Se dokumentasjon av API-et.

  • Hvor finner jeg produksjons-URL-er for dette? Dokumentasjonen ser ut til å kun inneholde test-URL-er.

Produksjons-URL-en er den samme som test-URL-en, men uten test-identifikatorer (f.eks. fjern "tt02").

Den generelle adressen er plattform.altinn.no. Vi skal sørge for å tydeliggjøre dette i de delene av dokumentasjonen der det i dag kan være uklart.

  • Hvilke roller kreves for å godkjenne opprettelse av en systembruker, og kan denne retten delegeres?

Godkjenning krever Altinn-rollen "Tilgangsstyring". Daglig leder og styreleder har denne rollen implisitt, men den kan delegeres til andre personer i virksomheten som da også kan godkjenne opprettelse av systembrukere.

  • Når vi oppretter en systembruker via API-et, får vi tilbake en URL som kunden må bruke for å godkjenne. Er dette den eneste måten å godkjenne på per i dag? Vil det komme en funksjon i Altinn-portalen der kunden kan se og behandle forespørsler som venter på godkjenning?

Per nå er lenken den eneste måten å godkjenne på. Vi har imidlertid identifisert behovet for å kunne se og behandle ventende forespørsler direkte i Altinn-portalen, siden den som oppretter forespørselen ikke alltid er den som skal godkjenne. Dette ligger i vår backlog for å bli implementert.

  • Hvordan skal vi som systemleverandør håndtere rettigheter for en systembruker over tid? En kunde kan for eksempel kjøpe en ny modul som krever utvidede rettigheter. Vi har ingen måte å se hvilke rettigheter en systembruker har, spesielt siden kunden selv kan endre disse i Altinn.

Dette er en kjent svakhet per i dag. Dere må foreløpig selv holde kontroll på hvilke rettigheter som er tildelt. Vi venter på underliggende funksjonalitet før vi kan tilby et API for å slå opp hvilke rettigheter en systembruker har. Dette ligger i vår backlog.

  • Det nye API-et for å slå opp systembrukere per organisasjonsnummer er veldig bra. Vi ser at man får tilbake informasjon om "tilgangspakker", men ikke om enkelttjenester. Når kan vi forvente å kunne se enkelttjenester?

Det stemmer. Muligheten til å se enkelttjenester avhenger av annen funksjonalitet vi venter på. Dette ligger i vår backlog, og vi håper å ha dette på plass innen utgangen av året.

  • Flere av de tematiske tilgangspakkene (f.eks. "Lønn" og "Merverdiavgift") virker å være tomme. Hva er status på disse, og kan vi som systemleverandører gi tilbakemeldinger på innholdet?

Vi har i utgangspunktet ikke invitert SBSL til å komme med innspill på tilgangspakker. Fristen som er gitt nå handler om hvilke tilgangspakker som er nødvendig. Det er tjenesteeier (TE) som velger hvilke(n) tilgangspakke(r) som er relevant for deres tjenester, og SBSL må melde inn evt ønsker til aktuell(e) TE.

  • Vi er et regnskapskontor som får tilgang til klienter via rollen "Regnskapsfører" i Enhetsregisteret. Hvordan kan vi få systembrukertilgang for en klient som ikke er en del av denne ordningen? Vi har prøvd å delegere tilgang, men får det ikke til.

For å få tilgang til klienter der det ikke finnes knytning mellom regnskapsfører- eller revisorfirmaet og kunden i Enhetsregisteret kan kunden delegere den tilgangspakken som tjenesten krever (f.eks skattegrunnlag) til regnskapsfører- eller revisorfirmaet (på organisasjonsnummeret). Deretter kan leverandør av sluttbrukersystem sende en forespørsel om å opprette systembruker for klientforhold med den aktuelle tilgangspakken, som klientadministrator på regnskapsfører- eller revisorfirmaet kan godkjenne og knytte til aktuell kunde. Merk at en systembruker som har både tilgangspakke som følge av Enhetsregisterkobling og tilgangspakke delegert fra kunde i de fleste tilfeller ikke vil fungere. Det bør derfor opprettes separate systembrukere. Denne problemstillingen er beskrevet som et av brukerscenariene for systembruker.

  • Hva er forskjellen på en vanlig systembruker og en "agent systembruker"? Vi skal hente data (f.eks. påleggstrekk) på vegne av våre kunder, som er kommuner. Hvilken type skal vi bruke?

Systembruker for eget system:
Brukes når en virksomhet eller person leverer tjenester for seg selv. Den representerer kun én juridisk enhet og kan ikke ha klienter tilknyttet.

Systembruker for klientforhold:
Brukes når en tjenesteleverandør (f.eks. et regnskapsbyrå) leverer på vegne av flere klienter. Denne typen kan ha flere klienter knyttet til seg og krever en godkjenningsprosess via Altinn.

I deres tilfelle, der kunden bruker en instans av deres system for å hente egne data, høres det ut som at hver kunde skal ha en systembruker for eget system. De ulike typene systembruker er grundigere beskrevet i dokumentasjonen.

  • En bruker med rollen "daglig leder" godkjente en systembruker-forespørsel for en enkelttjeneste uten feilmelding. Da vi kalte API-et, fikk vi "403 Forbidden". Det viste seg at den daglige lederen som godkjente, ikke selv hadde tilgang til enkelttjenesten. Skal ikke systemet validere dette ved godkjenning?

Jo, den som godkjenner må ha tilgang til den aktuelle tjenesten. At forespørselen ble godkjent uten feilmelding høres ut som en feil. Vi ser nærmere på GitHub-isssue som ble delt av spørsmålsstiller.

  • Er Altinns support (første-, andre- og tredjelinje) opplært i de nye systembruker-konseptene? Kan vi begynne å sende sluttbrukerne våre dit?

Vi jobber med opplæring av support-apparatet. De bygger kompetanse og eskalerer saker de ikke kan løse. Send oss gjerne typiske spørsmål dere får fra kunder, så kan vi bruke det i opplæringen.

  • Finnes det dokumentasjon rettet mot sluttbrukere som vi kan peke dem til?

Ja, det finnes en egen seksjon for sluttbrukere i dokumentasjonen. Denne vil på sikt bli flyttet til altinn.no, slik at det vil være lett å vise til den mot deres brukere. Gi oss gjerne beskjed om det er mangler der. Den midlertidige dokumentasjonen finner dere her: https://docs.altinn.studio/nb/authorization/guides/end-user/system-user/

  • Kan det etableres en mekanisme i Slack, f.eks. en emoji, for å flagge tråder der det avdekkes mangler i dokumentasjonen?

Det er en veldig god idé. Vi ser på en løsning for dette. Målet vårt er å svare på spørsmål ved å peke til dokumentasjonen, og hvis den er mangelfull, oppdaterer vi den først.

Se også spørsmål og svar for tjenesteeiere.