Samtykke
Samtykke gis via samtykkeløsningen til Altinn
For å bruke løsningen må datakonsument først redirecte skatteyter til samtykkeløsningen til Altinn. Dersom skatteyter samtykker til at ønskede data kan utleveres til datakonsumenten oppretter Altinn et samtykke (en representasjon av hva som er avtalt mellom Datakonsument og Skattepliktig). Datakonsumenten kan så hente data fra Skatteetatens datatjenester. Samtykket må sendes med dataforespørselen og blir kontrollert av Skatteetaten.
Tjenester med støtte for samtykke
Samtykke fra skatteyter:
Samtykke fra virksomhet
Krav om ekstra informasjon
Ifm oppsett av autorisasjon må datakonsumenter som benytter samtykke oppgi noen ekstra opplysninger.
Skatteetaten sine krav ifm redirect til Altinn sin samtykketjeneste
For å starte en samtykkeingåelse må man redirecte sluttbruker til Altinn med parametre som forteller hvilke datatjenester man ønsker samtykke for, mm. Nedenfor er en oversikt over hvilke parametre/verdier som må benyttes for å etablere samtykke for bruk av Skatteetaten sine datatjenester.
For full oversikt over alle parametre som må/kan settes, se Altinn: be om samtykke
| parameter | forklaring | eksempelverdi |
|---|---|---|
| Resources | Punktum separert liste med ID_VERSJON for data tjenester man ønsker samtykke for. Se Tjeneste ID og Versjon | 4628_210607.4804_210607 |
| CoveredBy | Orgnummer for datakonsument. Må matche orgnummer til autentisert konsument | 123456789 |
| HandledBy | Orgnummer for leverandøren, dersom tilgangen er delegert | 123456789 |
| RedirectURL | Url-encoded url som sluttbruker skal redirectes til etter inngått samtykke | https%3A%2F%2Fwww.datakonsument.no |
| ValidToDate | Kan maksimalt være 10 dager frem i tid. Skatteetaten vil avvise samtykker med gyldighetsperioder lengre perioder enn 10 dager (selv om samtykket benyttes innen 10 dager) | 2017-04-30T10:30:00Z |
| RequestMessage (tidl. DelegationContext) | I ny samtykkeløsning skal denne ikke fylles ut, tekstene er definert i malene | N/A |
| 4804_210607_fraOgMed | Parameter for Inntekt | 2018-03 |
| 4804_210607_tilOgMed | Parameter for Inntekt | 2018-06 |
| 4628_210607_inntektsaar | Parameter for Skattegrunnlag | 2017 |
Tjeneste ID og Versjon
| Tjeneste | Tjenestekode | Kommentar |
|---|---|---|
| Inntekt API | 4804_210607 | Sanert tjenestekode: 4804_170223 |
| Spesifisert summert skattegrunnlag API | 4628_210607 | Sanert tjenestekode: 4628_1 |
| Arbeidsgiveravgift API | 5616_3 | |
| MVA Meldingsopplysning API | 5616_4 | |
| Oppdrag utenlanske virksomheter API | 5616_2 | |
| Restanser API | 5616_5 |
Konsumenter av SBL-tjenestene skal over på ny samtykkeløsning og i den forbindelse må nye tjenestekoder tas i bruk, og de gamle vil saneres.
Tjenesteparametre
Når man starter samtykkeinngåelsen må man ha med tjenestespesifikke parametre for de tjenestene man vil ha samtykke for.
| Resource | obligatoriske parametere | forklaring | eksempel |
|---|---|---|---|
| 4628_210607 | 4628_210607_inntektsaar | inntektsaar det skal hentes skattedata for | &4628_210607_inntektsaar=2017 |
| 4804_210607 | 4804_210607_fraOgMed | startmåned det skal hentes inntektsopplysninger for | &4804_210607_fraOgMed=2018-08 |
| 4804_210607 | 4804_210607_fraOgMed | sluttmåned det skal hentes inntektsopplysninger for | &4804_210607_tilOgMed=2018-10 |
Krav om kontroll av samtykke
Hvis datakonsument ikke vet med sikkerhet hvem som har samtykket skal datakonsument kontrollere hvem samtykketoken gjelder for før spørring mot Datasamarbeid API utføres. Dette er spesielt aktuelt i tilfeller der det gis flere samtykker i samme saksflyt (for eksempel at flere personer søker lån sammen).
Se faq for hvordan man kan kontrollere samtykketoken, og mulige årsaker til roblemet.
Restriksjon på bruk av iFrames
Samtykkedialogen kan ikke innpakkes i en iFrame eller annen branding som er egnet til å utydeliggjøre domenet samtykkedialogen foregår på (som er altinn + idporten).
Dette er begrunnet med et potensielt misbruksscenario beskrevet i OAuth2-spesifikasjonen (clickjacking)
Veksle inn authcode
Se Altinn: veksle inn autorisasjonskode i token
Headerinformasjon
Altinn samtykketoken må settes i header i request til Skatteetaten sine datatjenester. Det er ikke nødvendig for datakonsument å lese samtykketoken eller sette seg inn i tokenformatet. For full dokumentasjon av tokenformat se Altinn: tokenformat
| header | forklaring | eksempelverdi |
|---|---|---|
| AltinnSamtykke | Base64 encoded JWT samtykketoken fra Altinn | eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IkthUGxpMFJUdVVUcl9yUXJWSmhzQkNXQS0yayJ9.eyJTZXJ2aWNlQ29kZXMiOiI0NjI4LDEiLCJBdXRob3JpemF0aW9uQ29kZSI6IjE1MzM0ZTcxLTVhMzEtNDE0Ny05MjA4LTNkYTFlZDYwNTY0OSIsIk9mZmVyZWRCeSI6IjA1MDg4MDAwMTEyIiwiQ292ZXJlZEJ5IjoiOTEwNTE0NDU4IiwiRGVsZWdhdGVkRGF0ZSI6IjE2LjAyLjIwMTcgMTc6MTc6MDYiLCJWYWxpZFRvRGF0ZSI6IjAxLjAxLjIwMTggMjM6NTk6NTkiLCJpc3MiOiJhbHRpbm4ubm8iLCJleHAiOjE0ODgzMDQzMDcsIm5iZiI6MTQ4ODMwNDI3N30.signatur_fjernet |
Samtykketoken er base64-encodet og signert når det hentes fra Altinn sin datatjeneste. Det er bare gyldig i 30 sekunder, men man kan hente nytt token basert på authcoden så ofte man vil.
Samtykketoken er et JWT token og det finnes gode online verktøy for å lese tokens, f.eks. jwt.io