Offentlige API-er for anskaffelsesplattformer
En anskaffelsesplattform trenger flere spesialiserte integrasjoner; det finnes ikke ett offentlig API som dekker hele prosessen.
En digital anskaffelsesplattform kan hente stor verdi fra offentlige API-er, men det finnes ikke ett samlet grensesnitt for hele prosessen. Hver kilde har eget formål, datadekning, autentisering og ansvar.
Et praktisk API-kart
| Behov | Aktuell offentlig kilde | Typisk tilgang |
|---|---|---|
| Sende norske kunngjøringer | Doffin Notices API | Egen onboarding og API-tilgang |
| Søke publiserte EØS-kunngjøringer | TED Search API | Åpent, uten autentisering |
| Publisere direkte til TED | TED Publication API | API-nøkkel; norsk normalflyt går via Doffin |
| Virksomhetsopplysninger | Brønnøysundregistrene og data.altinn.no | Åpent eller API-nøkkel/Maskinporten avhengig av datasett |
| Delegerte systemrettigheter | Altinn systembruker | Maskinporten og Altinn-autorisasjon |
| Digital virksomhetsdialog | Dialogporten | ID-porten eller Maskinporten/systembruker etter API og rolle |
| Arkivoverføring | Virksomhetens sak- og arkivløsning | Leverandørspesifikt eller standardisert Noark-grensesnitt |
Tabellen er et startpunkt, ikke en tilgangsgaranti. Bekreft det konkrete datasettet og endepunktet hos API-eieren.
Skill kildedata fra berikelse
Lagre alltid:
- kilde og endepunkt
- identifikator hos kilden
- hentetidspunkt og kildeversjon
- rårespons eller verifiserbar referanse
- normaliserte felt brukt i produktet
- eventuelle beregnede eller AI-genererte felt
Da kan brukeren se hva som er offisiell informasjon og hva plattformen har tolket. Hvis organisasjonsnavnet er offisielt, men kategoriseringen er maskinlaget, bør dette være synlig.
Ikke bruk samme autentisering overalt
Maskinporten gjelder bare API-er som støtter Maskinporten. TED Search API er åpent. TED Publication API bruker API-nøkkel. Doffin har egen tilgangsmodell. En integrasjonsplattform bør derfor ha separat adapter og hemmelighetssett per kilde.
Dette reduserer konsekvensen av nøkkellekkasje og gjør det mulig å rotere eller stanse én integrasjon uten å påvirke resten.
Robust synkronisering
Offentlige API-er kan ha rategrenser, vedlikehold og endringer. Bruk kø, eksponentiell venting, idempotens og kontrollpunkter. Et nattlig avstemmingsløp bør sammenligne antall og siste eksterne ID, ikke bare anta at alle sanntidskall lyktes.
Ved endringer i felter eller kodeverk bør systemet varsle før data stille forsvinner. Kontrakttester mot testmiljø og lagrede eksempelresponser gjør oppgraderinger tryggere.
Personvern og formål
At data kan hentes via API betyr ikke at enhver videre bruk er nødvendig eller lovlig. Minimer persondata, definer lagringstid og begrens tilgang. For leverandørprofiler bør virksomhetsdata holdes adskilt fra personopplysninger om kontaktpersoner og signatarer.
Prioritert rekkefølge for et nytt produkt
- Start med åpent TED-søk og en tydelig kildevisning.
- Avklar Doffin-datatilgang og publiseringsonboarding direkte med DFØ.
- Legg til virksomhetsoppslag for kontroll, ikke som ufeilbarlig sannhet.
- Implementer Maskinporten/systembruker først når en konkret funksjon krever det.
- Bygg arkiv og eksport inn i datamodellen før første produksjonskunde.
Les integrasjonsarkitektur og bygging av anskaffelsesplattform .
Offisielle kilder
Se TED Search API , data.altinn.no API-dokumentasjon og Dialogportens autentiseringsguide . Kontroller hvert API separat før bruk.