Autentificering via Billetautomaten | Udviklings- og Forenklingsstyrelsen

Denne vejledning beskriver kald mod Billetautomaten (BAT), der med et registreret OCES3-certifikat udsteder en JWT-token til dataudveksling med DUPLA. Selve kald og kaldemønstre til DUPLAs APIer bliver ikke beskrevet i vejledningen.

Sådan kaldes Billetautomaten med OCES3 certifikat

Billetautomaten modtager et OCES3 organisationscertifikat og udsteder en token til digital identifikation af anvender systemet, baseret på virksomhedens CVR-nummer på certifikatet.

Certifikater og TLS

En TLS-forbindelse opsættes mellem den kaldende klient og Billetautomaten. I kald til Billetautomaten sendes dataanvenders OCES3-certifikat, som valideres af Billetautomaten.

Dataanvenders OCES3-certifikat udveksles som en del af TLS handshaket. En forudsætning for at TLS-forbindelse kan etableres er, at Globalsigns rodcertifikat skal være installeret.

Kald til Billetautomaten (BAT)

For at få udstedt en access token af Billetautomaten med identifikation og evt. verifikation af et fuldmagtsforhold (autorisation) kaldes Billetautomaten endpoint, https://bat.skat.dk/realms/oces/protocol/openid-connect/token 

Bodyparameter

'client_id' udfyldes med 'api-gateway'
'scope' udfyldes med 'openid'
'grant type' udfyldes med ”password”
’x-transaction-id” udfyldes med et unikt UUID

Brugsmønstre

Indhold mangler

Test og produktionsmiljøer

TFE: Testmiljø for eksterne dataaftagere	https://bat.tfe.skat.dk/realms/oces/protocol/openid-connect/token
PROD: Produktionsmiljø for Billetautomaten.	https://bat.skat.dk/realms/oces/protocol/openid-connect/token

OBS: Det returnerede accesstoken opbevares og behandles sikkert.

Revisorer og andre FL §8 partsrepræsentanter med krav om fuldmagtsforhold

Billetautomaten modtager et OCES3 organisationscertifikat og udsteder en token til digital identifikation af anvendersystemet baseret på virksomhedens CVR-nummer på certifikatet.

Revisorers lovhjemmel til dataadgang kræver yderligere en autorisation, dvs. en fuldmagt fra borgeren eller virksomheden der repræsenteres. DUPLA understøtter forskellige autorisationssystemer til validering af fuldmagtsforhold mellem revisoren og borger (CPR-nummer), virksomheder (SE-nummer) eller pligtbaserede indberetninger/angivelser.

Yderligere særlige body-parametre for kald med fuldmagter per område
Erhvervsbeskatning (fx moms, R75s, skattekonto)	Personbeskatning	Indberetnings-løsninger (erhverv)
’onbehalfofse’ udfyldes med at klientens SE-nummer	’cpr’= udfyldes med klientens cpr-nummer ’fuldmagtstype’ udfyldes med fuldmagtstypekode - Årsopgørelse, forskudsopgørelse og R75 = TSB_WS_R75_PERSON_KONTROL_OPL PersonSelvangivelse = TSB_WS_SAPRO_SELVANG	Ingen særlige fuldmagtsparameter.

Hvis OCES3-certifikatet er gyldigt, udsteder Billetautomaten en acces token, som returneres til klienten og kan anvendes ved kald til DUPLA. Revisorens fuldmagter tilføjes ligeledes til denne token.

Brugsmønster for kald med fuldmagtsvalidering

For kald med fuldmagtsvalidering gennem Billetautomaten (se kaldemønstre) trækkes én token for hvert skattesubjekt.

Hvis API’et der skal kaldes, understøtter fuldmagtsvalidering direkte i DUPLA kan én token fra Billetautomaten bruges til alle kald mod DUPLA indtil tokens udløb. Først herefter trækkes en ny token i Billetautomaten.

Kode eksempler

curl -X POST https://bat.skat.dk/realms/oces/protocol/openid-connect/token 
--cert client-cert.pem 
--key client-key.pem 
--cacert SkatRootCA.crt
-H "Content-Type: application/x-www-form-urlencoded"
-d "client_id=api-gateway"
-d "grant_type=password" 
-d ”x-transaction-id=”
-d "scope=openid"
-d "cpr=”
-d "fuldmagtstype=TSB_WS_R75_PERSON_KONTROL_OPL”

OBS: Personfuldmagten kaldes med fuldmagtsgiverens ”cpr” og passende ”fuldmagtstype”

curl -X POST https://bat.skat.dk/realms/oces/protocol/openid-connect/token 
--cert client-cert.pem 
--key client-key.pem 
--cacert SkatRootCA.crt
-H "Content-Type: application/x-www-form-urlencoded"
-d "client_id=api-gateway"
-d "grant_type=password"
-d ”x-transaction-id=”
-d "scope=openid"
-d "onbehalfofse=

OBS: Erhvervsfuldmagten kaldes med ”onbehalfofse” og uden fuldmagtstype. Alle relevante fuldmagter bliver returneret i BAT token

Certifikater og TLS

Kald til Billetautomaten (BAT)

Brugsmønstre

§ - Revisorer og andre FL §8 partsrepræsentanter med krav om fuldmagtsforhold