SBS eFactura
Detalii tehnice de autentificare
Aplicația ERP trebuie să fie fie autorizată pentru a putea trimite, în numele unei companii, facturile acesteia în sistemul național RO e-Factura.
Pașii de autorizare de mai jos vor trebui să fie făcuți o singură dată.
(1) Autorizarea va fi inițiată de utilizatorul logat în Socrate ERP, pe un sistem Windows în care este prezentă și cheia sa digitală. El va solicita autorizarea serviciului e-Factura pentru compania curentă (cu un anumit CUI) printr-o comandă/buton.
(2) La această solicitare, ERP-ul va deschide browserul de pe respectiva mașină și-l va direcționa către portalul ANAF. Aici, după ce persoana se autentifică cu cheia sa pentru respectiva companie (CUI), va intra într-un formular în care i se va cere să autorizeze ERP-ul ca aplicație prin care se accesează sistemul național RO e-Factura. Toți parametrii de autorizare vor fi precompletați din adresa de redirectare.
(3) Ca urmare confirmării autorizării, ANAF va emite un token (un cod) unic pentru a identifica compania în numele căreia ERP trimite facturile. Acest token (precum și unul de reîmprospătare emis tot atunci) vor fi stocate în Serviciul SBS Socrate e-Factura care va intermedia acest acces și care va păstra acest token la zi.
După această autorizare, aplicația ERP va putea să trimită, în numele respectivei companii, facturile în format electronic în Sistemul național privind factura electronică, RO e-Factura, fără nicio altă autentificare ulterioară.
Această trimitere va presupune prezentarea, de fiecare dată a token-ului de identificare, primit in procesul de autentificare prezentat mai sus prin care se va accesa securizat sistemul RO e-Factura pentru acea companie. Deoarece token-ul are o perioadă de valabilitate de 3 luni, Serviciul SBS eFactura se va ocupa de reîmprospătarea lui.
Dacă o persoană cu o cheie fizică este autentificată la ANAF pentru mai multe companii (CUI-uri), procedura de autorizare trebuie repetată pentru fiecare companie în parte pentru care se dorește accesarea via ERP a serviciului ANAF RO e-Factura.
Mai jos găsiți și un extras din documentația oferită de ANAF pentru autentificare cu OAuth 2.0.
Schema de autorizare OAuth2.0 de la ANAF
Acțiuni:
Utilizatorul înregistrat pe portalul ANAF cu certificat digital calificat accesează o aplicație terță. Aceasta poate să fie:
o aplicație de tip mobile, nativă Android/IOS,
o aplicație de tip desktop sau
o aplicație de tip web (site web)
Prin intermediul aplicației terțe utilizatorul este redirecționat către IdP, logincert.anaf.ro, pentru autentificare și obținerea token-ului de autorizare. Autentificarea se face folosind certificatul digital calificat al utilizatorului înregistrat pe portalul ANAF. În pasul de generare al token-ului se iau în considerare două lucruri:
Drepturile de acces ale utilizatorului definite de serialul certificatului înrolat în sistemele ANAF;
Drepturile de acces ale aplicației terțe către serviciile expuse de ANAF.
IdP-ul returnează aplicației terțe un token de autorizare pe baza drepturilor aplicației și a utilizatorului
Dacă utilizatorul nu are acces la serviciu dar aplicația terță are, IdP-ul va returna un token care nu-i va permite utilizatorului să acceseze serviciul respectiv;
Dacă utilizatorul are acces la serviciu dar aplicația terță nu a fost înrolată la serviciul respectiv, IdP-ul va returna un token care nu-i va permite utilizatorului să acceseze serviciului prin intermediul acelei aplicații;
Dacă utilizatorul are acces la serviciu și aplicația terță a fost înrolată corect pentru serviciul respectiv, IdP-ul va returna un token ce-i permite utilizatorului să acceseze serviciul protejat prin aplicația utilizată;
Orice token furnizat de IdP permite accesul cel puțin spre serviciul de testare de tip “Hello”, denumit TestOauth. Serviciul “Hello” va fi customizat pe viitor pentru a afișa mai multe informații.
Aplicația terță accesează o resursă protejată aflată în spatele serviciului api.anaf.ro folosind token-ul obținut la pasul 3;
Resursa protejată, api.anaf.ro, autorizează accesul către API-uri folosind un mecanism de validare la IdP al token-ului prezentat;
IdP-ul validează token-ul prezentat;
Resursa protejată permite accesul către API-ul accesat.
Token-urile emise de către IdP sunt de tip “authorization code”, opaque, cu o durată de valabilitate mare, care pot fi ulterior folosite de către aplicații terțe. Deși token-ul nu transportă nici o informație despre aplicații sau utilizatori, acesta autorizează accesul utilizatorului la serviciile la care este inrolat. Responsabilitatea păstrarii în mod securizat a token-urilor revine dezvoltatorilor de aplicații care folosesc acest mecanism. Aplicația terță poate să stocheze în mod securizat token-ul obținut de utilizator pentru refolosiri ulterioare, sau poate să revoce token-ul respectiv instruind IdP-ul să revoce acel token. Odată revocat un token, acesta nu va mai fi validat și autorizat pentru acces. Modul în care se tratează managementul token-urilor depinde de fiecare aplicație în parte și de modul în care a fost construită. Managementul token- urilor se face folosind mecanismele standard puse la dispoziție de OAuth2.0.
URL-urile de management sunt:
Authorization Endpoint: https://logincert.anaf.ro/anaf-oauth2/v1/authorize
Token Issuance Endpoint: https://logincert.anaf.ro/anaf-oauth2/v1/token
Token Revocation Endpoint: https://logincert.anaf.ro/anaf-oauth2/v1/revoke
Ldap-ul returnează un set format din două token-uri, unul de autorizare (Authorization Token) și unul de refresh (Refresh Token). Refresh token-ul poate fi folosit pentru obținerea unui nou Authorization Token. Ambele pot fi reutilizate.
Pentru folosirea soluției de autorizare a accesului la serviciile de tip API, dezvoltate de ANAF, folosind mecanisme standard bazate pe folosirea protocolului OAUTH, dezvoltatorii de aplicații au la dispoziție un mecanism de înrolare a aplicațiilor în sistemele ANAF. Utilizatorii aplicațiilor trebuie să fie înregistrați și înrolați în sistemele ANAF, cu drepturi de acces către diverse servicii furnizate de portalul ANAF.