Informasjon om nødvendige sikkerhetsmekanismer, autentisering og autorisasjon

Autentisering

For å benytte Skatteetatens API trenger man et X.509 virksomhetssertifikat for autentisering fra en offentlig godkjent utsteder:

leverandør bestille PROD sertifikat bestille TEST sertifikat
Buypass https://www.buypass.no/produkter-og-tjenester/virksomhetssertifikat https://www.buypass.no/produkter-og-tjenester/virksomhetssertifikat/bestill-testsertifikat
Commfides https://www.commfides.com/virksomhetssertifikat-mot-skatteetaten https://www.commfides.com/virksomhetssertifikat-mot-skatteetaten
  • Bestillingstid er normalt noen dager, men man kan hastebestille.
  • Hvis man mottar flere virksomhetssertifikater, ikke bruk det med bruksområde ikke-avvisning (se FAQ - sjekk sertifikat type )
  • Man må benytte testvirksomhetsertifikat i test og prodvirksomhetsertifikat i prod
  • Man må ha Private key som hører til sertifikatet.

Autorisering

Man må også autoriseres for å bruke grensesnittene. Autorisering bestilles på Skatteetaten.no. Vi trenger informasjonen i tabellen nedenfor:

opplysning forklaring eksempel
Organisasjonsnummer må matche organisasjonsnummer i virksomhetssertifikat 909090900
Rettighetspakke Avklares under avtaleinngåelse Standard, Utvidet
Tjeneste(r) hvilke datasamarbeid tjenester du skal benytte spesifisert summert skattegrunnlag, inntektsmottaker, beregnetskatt, restanser, oppgaveinnlevering

Merk at autorisasjoner settes opp i AT og PROD samtidig. Signert datautveksling avtale må foreligge før autorisasjon kan settes opp.

Ekstra informasjon om datakonsumenter som benytter samtykke

De som henter data med samtykke må i tillegg angi hvilke RedirectURL verdier som skal være lovlige å bruke.

opplysning forklaring eksempel
redirect url for test Hvor sluttbruker skal redirectes etter fullført samtykkedialog i Altinn (tt02) *.testdomene.no
redirect url for produksjon Hvor sluttbruker skal redirectes etter fullført samtykkedialog i Altinn (prod) *.domene.no
  • angi kun domene/host (ikke path)
  • bruk wildcard (*) for å støtte flere sub-domener
  • man kan benytte likt oppsett for test og prod
  • man kan registrere flere oppsett (Eksempel: *.virksomhet.no *.virksomhet.com)
  • wildcard skal kun brukes på subdomene eller lavere nivå. Topp- og andre-nivå domene må angis fullstendig.
riktig: *.domene.no
feil: *domene.no   domene.*

Eksempel bestilling

Eksempelbanken har virksomhetssertifikat med orgnummer 909090900. De har inngått avtale for å hente hente skattegrunnlag og inntektsmottaker data med samtykke. Skatteetaten har tildelt rettighetspakke Standard. De bruker testmiljøene https://test1.eksempelbank.no, https://test.eksempelbank2.no og prodmiljøene https://www.eksempelbank.no, http://www.eksempelbank.no og https://eksempelbank.no.

Bestilling til Skatteetaten.no blir:

Organisasjonsnummer: 909090900
Rettighetspakke: Standard
Tjenester: skattegrunnlag, inntektsmottaker
Testurl: *.eksempelbank.no;*.eksempelbank2.no
Produrl: *.eksempelbank.no 

Brannmur oppsett

Hvis man kaller datasamarbeid tjenestene fra bak en utgående brannmur må man lage åpninger i brannmuren sin.

IP Oppsett

Miljø Host IP Port
Akseptansetest (AT) api-at.sits.no 159.216.17.148 443
Produksjon (Prod) api.skatteetaten.no 159.216.17.168 443

Vi forsøker å holde IP statisk, men kan ikke love at det aldri vil komme endringer. Hvis vi må gjøre endringer vil dette bli varslet som en nyhet

Subnett Oppsett

Hvis man heller ønsker et brannmur oppsett som ikke vil kreve endringer så kan man åpne mot hele Skatteetaten sitt subnett for eksterne. Dette innebærer at man åpner mot alle eksternt rettede tjenester Skatteetaten tilbyr (som for eksempel folkeregisteret).

Miljø Subnett Port
Preprod miljø (AT++) 159.216.17.128/27 443
Produksjon (Prod) 159.216.17.160/28 443

REST

For REST kreves det at man utfører standard klientsertifikat autententisering. De fleste vanlige HTTP verktøy har støtte for dette. Eksempel med curl

$ curl -k -v --cert datakonsument.cer --key datakonsument.key "https://api-at.sits.no/api/innrapportert/inntektsmottaker/12345678901/oppgave/inntekt?fraOgMed=2016-11&tilOgMed=2017-01" > resultat.json

SOAP (deprekert)

Eldre datasamarbeid grensesnitt er basert på bruk av SOAP. SOAP variantene er deprekert til fordel for bruk av REST, som er enklere. Ikke alle grensesnitt er lagt om enda. Hvis du ønsker å ta i bruk et grensesnitt som ikke er lagt om enda, ta kontakt.

Feilsøking

Se egen sertifikat problem side for feilsøking av sertifkat tilkoblingsproblemer.

Tags: