לפניכם השלבים בתהליך וההנחיות:
01 | מנפיקים תעודות
02 | מבצעים תהליך מתן הרשאה (הסכמת לקוח)
03 | מקבלים קוד גישה (AccessToken)
04 | פונים ל DATA API's השונים ומקבלים מידע התואם את הרשאת הלקוח (הסכמה)
פירוט השלבים:
01 | מנפיקים תעודות
יש להנפיק 2 תעודות: תעודת QSEAL לצורך חתימת השדרים ותעודת QWAC לצורך אימות האפליקציה.
את התעודות יש להנפיק דרך רשות שוק ההון
02 | תהליך אישור הסכמה (מתן הרשאה)
תהליך הקמת הרשאה (הסכמה) מתחיל אצל נותן השירות הפיננסי. לאחר שהלקוח הזין מספר פרטים ראשוניים ומאשר שהוא מעוניין לשתף את הנתונים הפיננסים שלו בקבוצת מגדל,
נותן השירות הפיננסי פונה לקבוצת מגדל כדי לייצר הרשאה (הסכמה) חדשה.
לצורך הפעלת API נדרש להזין בשדה PSU-ID-Type את קוד החברה על פי הטבלה הבאה:
שם החברה | PSU-ID-Type |
מגדל חברה לביטוח בע"מ | 520004896 |
מגדל מקפת קרנות פנסיה וקופות גמל בע"מ | 512237744 |
התהליך נעשה על פי תקן OAuth 2.0 - נותן השירות הפיננסי פונה לקבוצת מגדל כדי ליצור מזהה הרשאה (הסכמה) חדש (CreateConsentApi) ולאחר קבלת מזהה ההרשאה (הסכמה) עליו לייצר Link חד פעמי לתהליך. ה-Link מכיל בתוכו פרמטרים ייחודיים לנותן השירות הפיננסי ולתהליך מתן ההרשאה (הקמת ההסכמה) על בסיס BaseUrl על פי הסביבה הרצויה (Sandbox או Production).
נותן השירות הפיננסי מפנה את הלקוח באמצעות ה-Link הנ"ל לאתר קבוצת מגדל ושם הלקוח מזדהה ונכנס לתהליך מתן הרשאה (הקמת הסכמה)
בהסכמה מסוג BO (BankOffered) הלקוח בוחר את ההלוואות שהוא מסכים לשתף מידע בגינן ובהסכמה מסוג DA (DetailedAccount) הלקוח בוחר מראש את נתוני ההלוואות (מספרי הלוואות) במסכי האפליקציה של נותן השירות הפיננסי והפרטים עוברים למגדל. הלקוח נותן הרשאה לקבלת מידע על הלוואותיו בקבוצת מגדל וכן קובע תוקף להרשאה. אם ההסכמה (הרשאה) מאושרת, הלקוח מקבל הודעת אישור וחוזר חזרה למסכי אפליקציית נותן השירות הפיננסי ומסיים את תהליך מתן ההרשאה (הקמת ההסכמה)
נותן השירות הפיננסי פונה ל-GetConsentStatus API לצורך בדיקת סטטוס ההרשאה (הסכמה)
03 | AccessToken
על מנת לקבל Access Token, על נותן השירות הפיננסי להגיע עם ה- AuthorizationCode שהתקבל בשלב הקודם.
נותן השירות הפיננסי מקבל שני סוגים של טוקנים:
1. AccessToken
Refresh Token .2 - למקרה שפג התוקף של ה- AccessToken.
בעזרת ה- AccessToken, נותן השירות הפיננסי פונה ל- API לצורך שליפת נתוני הלקוח.
לפני שפג תוקף ה AccessToken, נותן השירות הפיננסי פונה ל API לחידוש ה Token בעזרת ה- RefreshToken שקיבל, ומקבל AccessToken ו- RefreshToken חדשים.
תוקפם של ה- AccessToken וה- RefreshToken הינו קבוע. יש לחדש את התוקף של ה- AccessToken תוך עד 24 שעות, כפי שמתקבל בשדה expires_in ע"י שימוש ב- RefreshToken.
04 | פנייה לקבלת מידע בהתאם להסכמה
לאחר השלמת תהליך הקמת ההרשאה (הסכמת הלקוח) וקבלת ה Token, נותן השירות הפיננסי פונה כדי לקבל את הנתונים הפיננסיים העדכניים של הלקוח מקבוצת מגדל.
להנחיות מפורטות לסביבת הניסוי (Sandbox) לחץ כאן
הנחיות מפורטות לסביבת הייצור (Production) - לחץ כאן