Om oss
- Om oss
- » Digitala samarbeten
- » Utveckling av API:er och öppna data
- » Säkerhet och API:er
Säkerhet och API:er
För att få tillgång till de flesta av Skatteverkets partner-API:er behöver du autentisera programvaran enligt säkerhetsramverket OAuth 2. I vissa fall ska din slutanvändare också autentiseras med ett organisationslegitimation eller en godkänd e-legitimation. Här kan du läsa mer om hur du använder våra säkerhetslösningar.
Så här fungerar Skatteverkets säkerhetslösningar
Varje partner-API är knutet till ett eller flera specifika Oauth2-flöden och autentiseringsmetoder. Skatteverket använder flödena Client Credentials Grant (CCG) och Authorization Code Grant (ACG). Vilken lösning som gäller för respektive API hittar du i beskrivningen av API:et på Utvecklarportalen eller i listan längre ner på den här sidan. På den här sidan hittar du också tabeller som visar vilka flöden som kan fungera för samma API-konsument. I de fall där det fungerar med flera flöden är det upp till dig att välja vilket du vill implementera.
Rekommendationer för dig som ska välja säkerhetslösning
- Behöver du en lösning med organisationslegitimation rekommenderar vi i första hand ett av CCG-flödena. De erbjuder samma säkerhet som ACG men är enklare att implementera. ACG tillsammans med organisationslegitimation är komplext och rekommenderas därför främst för erfarna utvecklare.
- Behöver du en lösning med e-legitimation är ACG det enda alternativet.
- Notera att flödet CCG med client ID och en utpekad organisationslegitimation (som ersätter client secret) inte fungerar tillsammans med något annat flöde på samma API-konsument. Vill du använda det flödet behöver du begära tillgång till API:et. Det kan du göra genom att kontakta oss.
Läs mer om de olika OAuth2-flödena och hur du implementerar dem:
Auktorisationsflöden och autentiseringsmetoder
I tabellerna ser du alla flöden, respektive autentiseringsmetod samt tekniska detaljer som är bra att ha koll på för implementationen. När du gör ett anrop är det väldigt viktigt att du skriver rätt adress till auktorisationsservern, annars kommer säkerhetslösningen inte att fungera. Du hittar rätt adresser i tabellerna eller i beskrivningen av respektive flöde.
Authorization Code Grant (ACG) | ||
Autentisering av programvaran | Client ID + client | Client ID + client |
Autentisering av slutanvändare | E-legitimation | Organisationslegitimation |
Auktorisationsserver | peroauth2.skatteverket.se | orgoauth2.skatteverket.se |
Krävs redirect-URI? | Ja | Ja |
Fungerar lösningarna på samma API-konsument? | Ja | Ja |
Client Credential Grant (CCG) | |||
|---|---|---|---|
Autentisering av programvaran | Client ID + client | Client ID + utpekad org.leg. | Client ID + client secret + valfri org.leg. |
Autentisering av slutanvändare | - | - | - |
Auktorisationsserver | sysoauth2. | sysorgoauth2. | sysorgoauth2. |
Krävs redirect-URI? | Nej | Nej | Nej |
Fungerar lösningarna på samma API-konsument? | Ja | Nej, fungerar inte med något annat flöde | Ja |
Auktorisationsflöden per API
Här ser du vilket flöde som är kopplat till vilket API samt vilken eller vilka autentiseringsmetoder du kan använda för just det API:et.
Arbetsgivardeklaration - individuppgifter
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
Client Credential Grant
- med client ID och client secret
- med client ID och utpekad organisationslegitimation
Arbetsgivardeklaration - inlämning
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
- med client ID, client secret och e-legitimation
Client Credential Grant
- med client ID och utpekad organisationslegitimation
Arbetsgivardeklaration - hantera redovisningsperiod
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
- med client ID, client secret och e-legitimation
Bilförmån
Client Credential Grant
- med client ID och client secret
Fastighetstaxering – innehav
Client Credential Grant
- med client ID och utpekad organisationslegitimation
Fastighetstaxering – taxeringsuppgifter
Client Credential Grant
- med client ID och utpekad organisationslegitimation
Fastighetstaxering – ägarförändringar
Client Credential Grant
- med client ID och utpekad organisationslegitimation
Folkbokföring för offentliga aktörer
Client Credential Grant
- med client ID, client secret och valfri organisationslegitimation
Inkomstdeklaration 2 - hämta
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
- med client ID, client secret och e-legitimation
Client Credential Grant
- med client ID och utpekad organisationslegitimation
Inkomstdeklaration 2 - inlämning
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
- med client ID, client secret och e-legitimation
Client Credential Grant
- med client ID och utpekad organisationslegitimation
Kremering och gravsättning
Client Credential Grant
- med client ID och client secret
Kundhändelser
Authorization Code Grant
- med client ID, client secret och e-legitimation
Client Credential Grant
- med client ID, client secret och valfri organisationslegitimation
- med client ID och utpekad organisationslegitimation
Meddela felaktig folkbokföringsadress
Authorization Code Grant
- med client ID, client secret och e-legitimation
Client Credential Grant
- med client ID, client secret och valfri organisationslegitimation
- med client ID och utpekad organisationslegitimation
Ombudshantering
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
- med client ID, client secret och e-legitimation
Client Credential Grant
- med client ID och utpekad organisationslegitimation
Rättsliga regler
Client Credential Grant
- med client ID och client secret
Skattekonto
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
- med client ID, client secret och e-legitimation
Client Credential Grant
- med client ID, client secret och valfri organisationslegitimation
- med client ID och utpekad organisationslegitimation
Skattekonto - hämta huvudmäns saldo och transaktioner
Authorization Code Grant
- med client ID, client secret och organisationslegitimation
Client Credential Grant
- med client ID, client secret och valfri organisationslegitimation
- med client ID och utpekad organisationslegitimation
Skatteregistrera privatpersoner bosatta utomlands (SINK)
Client Credential Grant
- med client ID, client secret och valfri organisationslegitimation
- med client ID och utpekad organisationslegitimation
Vad är OAuth 2?
OAuth2 är ett öppet säkerhetsramverk som kan användas för behörighet och åtkomst mellan olika komponenter. Ramverket innehåller olika flöden beroende på vilka komponenter som ska kommunicera med varandra. Skatteverket använder flödena Client Credentials Grant (CCG) och Authorization Code Grant (ACG) i de allra flesta av våra API-lösningar. Både CCG och ACG kräver att du har API-nycklar i autentiseringen mot Skatteverkets auktorisationsserver. Om du använder ACG-flödet och användaren autentiserar sig med en e-legitimation krävs dessutom att användaren ger sitt medgivande för att programvaran ska kunna anropa API:et.
Här kan du läsa mer om nycklarna:
Kontakta oss
Webbseminarier för företagare
Vill du lära dig mer om skatter och företagande? Ta då chansen och möt oss online på våra direktsända webbseminarier. Det är kostnadsfritt och du kan ställa frågor och få svar i en chatt.
Aktuellt
-
Budgetpropositionen inlämnad till riksdagen
Regeringen överlämnade den 20 september sitt budgetförslag för 2024 till riksdag...
-
Varning för bluff-sms
Falska mejl, samtal och sms förekommer i olika varianter och de är särskilt vanl...
-
En vecka kvar att ansöka om elstöd för företag
Måndag den 25 september är sista dag att ansöka om elstöd för företag med uttags...
Tillsammans gör vi samhället möjligt