Byna guideMed ReAI

Offentlige API-er for anskaffelsesplattformer

En anskaffelsesplattform trenger flere spesialiserte integrasjoner; det finnes ikke ett offentlig API som dekker hele prosessen.

Praktisk leverandørguideKontroller alltid gjeldende dokumenter

En digital anskaffelsesplattform kan hente stor verdi fra offentlige API-er, men det finnes ikke ett samlet grensesnitt for hele prosessen. Hver kilde har eget formål, datadekning, autentisering og ansvar.

Et praktisk API-kart

BehovAktuell offentlig kildeTypisk tilgang
Sende norske kunngjøringerDoffin Notices APIEgen onboarding og API-tilgang
Søke publiserte EØS-kunngjøringerTED Search APIÅpent, uten autentisering
Publisere direkte til TEDTED Publication APIAPI-nøkkel; norsk normalflyt går via Doffin
VirksomhetsopplysningerBrønnøysundregistrene og data.altinn.noÅpent eller API-nøkkel/Maskinporten avhengig av datasett
Delegerte systemrettigheterAltinn systembrukerMaskinporten og Altinn-autorisasjon
Digital virksomhetsdialogDialogportenID-porten eller Maskinporten/systembruker etter API og rolle
ArkivoverføringVirksomhetens sak- og arkivløsningLeverandørspesifikt eller standardisert Noark-grensesnitt

Tabellen er et startpunkt, ikke en tilgangsgaranti. Bekreft det konkrete datasettet og endepunktet hos API-eieren.

Skill kildedata fra berikelse

Lagre alltid:

  • kilde og endepunkt
  • identifikator hos kilden
  • hentetidspunkt og kildeversjon
  • rårespons eller verifiserbar referanse
  • normaliserte felt brukt i produktet
  • eventuelle beregnede eller AI-genererte felt

Da kan brukeren se hva som er offisiell informasjon og hva plattformen har tolket. Hvis organisasjonsnavnet er offisielt, men kategoriseringen er maskinlaget, bør dette være synlig.

Ikke bruk samme autentisering overalt

Maskinporten gjelder bare API-er som støtter Maskinporten. TED Search API er åpent. TED Publication API bruker API-nøkkel. Doffin har egen tilgangsmodell. En integrasjonsplattform bør derfor ha separat adapter og hemmelighetssett per kilde.

Dette reduserer konsekvensen av nøkkellekkasje og gjør det mulig å rotere eller stanse én integrasjon uten å påvirke resten.

Robust synkronisering

Offentlige API-er kan ha rategrenser, vedlikehold og endringer. Bruk kø, eksponentiell venting, idempotens og kontrollpunkter. Et nattlig avstemmingsløp bør sammenligne antall og siste eksterne ID, ikke bare anta at alle sanntidskall lyktes.

Ved endringer i felter eller kodeverk bør systemet varsle før data stille forsvinner. Kontrakttester mot testmiljø og lagrede eksempelresponser gjør oppgraderinger tryggere.

Personvern og formål

At data kan hentes via API betyr ikke at enhver videre bruk er nødvendig eller lovlig. Minimer persondata, definer lagringstid og begrens tilgang. For leverandørprofiler bør virksomhetsdata holdes adskilt fra personopplysninger om kontaktpersoner og signatarer.

Prioritert rekkefølge for et nytt produkt

  1. Start med åpent TED-søk og en tydelig kildevisning.
  2. Avklar Doffin-datatilgang og publiseringsonboarding direkte med DFØ.
  3. Legg til virksomhetsoppslag for kontroll, ikke som ufeilbarlig sannhet.
  4. Implementer Maskinporten/systembruker først når en konkret funksjon krever det.
  5. Bygg arkiv og eksport inn i datamodellen før første produksjonskunde.

Les integrasjonsarkitektur og bygging av anskaffelsesplattform .

Offisielle kilder

Se TED Search API , data.altinn.no API-dokumentasjon og Dialogportens autentiseringsguide . Kontroller hvert API separat før bruk.