För att få tillgång till de flesta av Skatteverkets riktade API:er behöver du autentisera programvaran enligt säkerhetsramverket OAuth 2. I vissa fall ska din slutanvändare också autentiseras med ett organisationslegitimation eller en godkänd e-legitimation. Här kan du läsa mer om hur du använder våra säkerhetslösningar.
Varje partner-API är knutet till ett eller flera specifika Oauth2-flöden och autentiseringsmetoder. Skatteverket använder flödena Client Credentials Grant (CCG) och Authorization Code Grant (ACG). Vilken lösning som gäller för respektive API hittar du i beskrivningen av API:et på Utvecklarportalen eller på sidan:
I våra tabeller får du en överblick över de olika säkerhetsflödenas egenskaper. I de fall där API-nycklarna går att återanvända för flera flöden kan du själv välja vilket du vill implementera.
Notera att autentiseringsuppgifterna för flödet Client Credentials Grant med utpekad organisationslegitimation inte går att återanvända för något annat säkerhetsflöde. Vill du byta till eller från det flödet behöver du ansöka om tillgång till API:et. I din ansökan fyller du i vilken organisationslegitimation du kommer att använda. Det OAuth2 client ID du får av oss kommer vara knutet till just den organisationslegitimationen.
Läs mer om de olika OAuth2-flödena och hur du implementerar dem:
I tabellerna ser du alla flöden, respektive autentiseringsmetod samt tekniska detaljer som är bra att ha koll på för implementationen. När du gör ett anrop är det väldigt viktigt att du skriver rätt adress till auktorisationsservern, annars kommer säkerhetslösningen inte att fungera. Du hittar rätt adresser i tabellerna eller i beskrivningen av respektive flöde.
Authorization Code Grant (ACG) | ||
Autentisering av programvaran | Client ID + client | Client ID + client |
Autentisering av slutanvändare | E-legitimation | Organisationslegitimation |
Auktorisationsserver | peroauth2.skatteverket.se | orgoauth2.skatteverket.se |
Krävs redirect-URI? | Ja | Ja |
Fungerar lösningarna på samma API-konsument? | Ja | Ja |
Client Credential Grant (CCG) | |||
---|---|---|---|
Autentisering av programvaran | Client ID + client | Client ID + utpekad org.leg. | Client ID + client secret + valfri org.leg. |
Autentisering av slutanvändare | Nej | Organisations-legitimation | Organisations- legitimation |
Auktorisationsserver | sysoauth2. | sysorgoauth2. | sysorgoauth2. |
Krävs redirect-URI? | Nej | Nej | Nej |
Fungerar lösningarna på samma API-konsument? | Ja | Nej, fungerar inte med något annat flöde | Ja |
OAuth2 är ett öppet säkerhetsramverk som kan användas för behörighet och åtkomst mellan olika komponenter. Ramverket innehåller olika flöden beroende på vilka komponenter som ska kommunicera med varandra. Skatteverket använder flödena Client Credentials Grant (CCG) och Authorization Code Grant (ACG) i de allra flesta av våra API-lösningar. Både CCG och ACG kräver att du har API-nycklar i autentiseringen mot Skatteverkets auktorisationsserver. Om du använder ACG-flödet och användaren autentiserar sig med en e-legitimation krävs dessutom att användaren ger sitt medgivande för att programvaran ska kunna anropa API:et.
Här kan du läsa mer om nycklarna:
Vill du lära dig mer om skatter och företagande? Ta då chansen och möt oss online på våra direktsända webbseminarier. Det är kostnadsfritt och du kan ställa frågor och få svar i en chatt.