Come connettersi al nodo con la connettività via Internet
In questo tutorial vedremo passo dopo passo tutto ciò che occorre fare per implementare questa integrazione.
⚠ I passi riportati di seguito sono necessari sia per l’accesso alla Connettività mediante Internet in ambiente di Collaudo che di Produzione.
⚠ Per connettività in ingresso si intende il traffico generato dall’EC/PSP verso PagoPA.
- Connessione all’Area Riservata per sottoscrizione alla connessione al nodo (vedi specifico Quick-Start)
- Sottoscrizione alla Nuova Connettività: nel menù che si presenta in alto a destra bisogna accedere alla voce Products e scegliere tra i prodotti proposti Nodo dei Pagamenti (Nuova Connettività). Una volta fatta questa scelta sarà possibile sottoscrivere la connettività attraverso i seguenti passaggi:
- Inserire nella textbox riportante il messaggio Your new product description name il nome che si intende dare alla connettività stessa (si consiglia di seguire una nomenclatura del tipo NC<nomePSP/EC><UAT/Prod> come, per esempio, NCBestPSPEverUAT)
- Confermare con il bottone Subscribe .
- Attendere il messaggio di conferma della corretta attivazione della sottoscrizione.
- La sottoscrizione appena confermata sarà elencata sotto la voce Profile del menu.
- Accesso e Gestione delle Chiave Primaria e Secondaria:
Le funzioni disponibili per ogni sottoscrizione sono:- show: per visualizzare le singole chiavi
- regenerate: nel caso si voglia generare nuovamente le chiavi.
Utilizzo Chiavi di Sottoscrizione: una volta ottenute le chiavi è necessario modificare il proprio software applicativo affinché nell’header delle richieste SOAP/REST, sia settato Ocp-Apim-Subscription-Key con il valore della primary o secondary key generate attraverso l’area riservata pagoPA.
Il parametro Ocp-Apim-Subscription-Key deve essere inserito nell’header di tutte le chiamate SOAP o Rest che il client fa verso la piattaforma pagoPA. In caso di mancata valorizzazione dell'header HTTP o in caso di chiave errata o non più valida l'APIM risponderà con un errore HTTP 401 (Unauthorized).
- Configurazione certificato lato Client: il soggetto che intende connettersi direttamente alla piattaforma pagoPA, deve dotarsi di un certificato digitale x.509 emesso da una Certification Authority che compaia fra i membri del CA/Browser Forum. È facoltà della PagoPA S.p.A. autorizzare la connessione utilizzando un certificato emesso da differente CA e autorizzare la connessione all’ambiente di test esterno utilizzando altro tipo di certificato.
Richiesta configurazione Partner: l’attivazione della connessione deve essere fatta attraverso la configurazione della stazione attraverso l’area riservata pagoPA che poi verrà autorizzata da PagoPA che vi contatterà in caso di bisogno.
⚠ L’endpoint da utilizzare, dipende dall’ambiente utilizzato:
Ambiente | Endpoint |
Collaudo (UAT) | https://api.uat.platform.pagopa.it/nodo-auth/ |
Produzione | https://api.platform.pagopa.it/nodo-auth/ |
⚠ Per connettività in uscita si intende il traffico generato da pagoPA verso il soggetto partner (EC/PSP).
- Download certificato pagoPA e configurazione: scaricare il certificato pubblico messo a disposizione da pagoPA tramite le SANP e abilitare la mutua autenticazione.
I certificati sono pubblicati sul repository GitHub di PagoPA.
⚠ L’utilizzo di whitelist per gli indirizzi IP è fortemente sconsigliato per la necessità di allineare tale lista ad ogni aggiornamento.
- Richiesta configurazione Partner: l’attivazione della connessione deve essere fatta attraverso la configurazione della stazione attraverso l’area riservata pagoPA che poi verrà autorizzata da PagoPA che vi contatterà in caso di bisogno. Le informazioni da fornire nella Stazione sono (tutti mandatori):
URL servizio (url della RT), URL Modello 3 (URL dove sono esposti i metodi paVerifyPaymentNotice, paGetPayment, paSendRT), URL di redirect.
⚠ Si noti che è responsabilità del richiedente garantire sia la correttezza delle informazioni che il servizio esposto per pagoPA sia correttamente dimensionato rispetto al numero delle richieste stimate e adeguatamente ridondato per la gestione dei possibili picchi.
- Una chiave di sottoscrizione ha una durata temporale predefinita?
Attualmente le chiavi non hanno scadenza, ma per motivi di sicurezza si consiglia una loro rigenerazione e aggiornamento periodico. - Errore 401 durante l’esecuzione delle chiamate (Connettività in Ingresso)
Se si presenta questo errore bisogna verificare che la chiave di autorizzazione che si sta utilizzando sia corretta e ancora attiva. In caso contrario potrebbe essere necessario procedere ad una rigenerazione della stessa. - Noi come PSS/EC abbiamo la necessità di aggiungere i server di pagoPA nella nostra whitelist. Quali sono gli IP?
In generale pagoPA sconsiglia di utilizzare whitelist per gli indirizzi IP, questo perché essendo in cloud non è possibile garantire che gli stessi non varino. Pertanto, se è fondamentale usare una whitelist, è necessario verificare che l’indirizzo sia ancora valido e predisporre dei controlli periodici.
Dicci cosa ne pensi
Per chiarimenti sulle specifiche d’implementazione, come SACI e SANP, puoi aprire una segnalazione su GitHub