在開放銀行情境案例中,在此將以三個角色的角度進行情境案例說明,引導您了解依據現行台灣規範開放銀行三階段之規範下,銀行端以及第三方平台 (TSP 業者) 對於 API 管理功能常見需求之案例解說,並提供資源擁有者(銀行客戶)在開放銀行情境下使用服務時的流程演示。藉由情境演示將能更有效協助將情境套用於自身組織中,並了解開放銀行應用對銀行產業帶來的優勢。
開放銀行指在銀行客戶(資源擁有者) 同意下,將資料開放給第三方平台 (Third-Party Service Provider, TSP) 使用,以開放應用程式介面(OpenAPI)共享相關數據資料,為客戶提供更多元及便利的服務。
昕力銀行遵循政府開放銀行架構,對第三方服務業者開放特定資訊,包含在使用者同意前提下含有特定個人資訊之內容,提高服務彈性以及創造更多加值應用。
享生活( Enjoy Life) 提供介接整合各式有助於便利終端使用者生活之服務 (含部分個人金融服務),在使用者同意前提下和銀行取得特定個資,提供單一介面整合性服務平台,提高使用者生活便利性。
作為可授權存取受保護資源的個體(即消費者),相較於在分開平台查詢各種不同資訊及操作(各銀行存款、信用卡優惠服務、其他日常生活服務),更希望能夠藉由整合各式資源來達到需求的現代數位使用者。
在這個情境案例中您將了解當銀行端要將 API 開放給 TSP 使用時, digiRunner 平台的功能設計完全滿足台灣開放銀行規範。包含支援 OAuth 2.0 的核身授權流程,且可針對 access token & refresh token 去設定效期及有效次數。
昕力銀行要開放 API 給其第三方合作平台 (TSP) – 享生活(Enjoy Life),Enjoy Life 擁有進入開發者入口網 (developer portal ) 取用其被授權的 API 資源的帳號: tsp2。針對這個用戶(tsp2), 昕力銀行對其帳戶在取用 API 時限制了access token & refresh token 效期及有效次數,以防止該用戶不當/異常使用 API 資源。昕力銀行合作的 TSP 業者之 Access token expire: 1 天 3 次;Refresh token expire: 7 天 3 次 。
點選【用戶端管理】>【用戶端維護】後,找到欲做設定的帳號( tsp2)
選擇 “Token 設定” 頁籤並提供所需資料訊
Access token expire: 1 天 3 次
Refresh token expire: 7 天 3 次
在此案例中您將體驗如何簡單的透過 digiRunner 管理平台替您的 API 進行 JWT 的加密設定以符合台灣開放銀行法規依階段對 token 加密機制的規範。不論是 Request 資料要用 JWS 簽章格式還是 Response 要用JWE 加密,都以輕鬆透過 digiRunner 來設定。
昕力銀行依不同的 API 功能,遵循開放銀行對於 Open API 技術標準規格之規範對各 API
進行了 Resonse/ Request 加密設定。其中”個人帳戶資訊查詢類” API 規範為須對 response 進行 JWE 加密,而 “帳戶服務申請類” API 則規範對 response 需有 JWE 加密的同時,request 也需有 JWS 簽章以確保其不可否認性。
這邊以其中兩支作為範例: “查詢活存餘額 (demandDeposit/accounts)” 以及 “申請信用卡道路救援服務 (creditCards/roadsideAssistance)”
點選【API管理】>【API列表】,點選【搜尋】選定目標 API
在此情境您將可以了解當銀行業者與第三方夥伴合作(TSP)共享 API 資源時,TSP 可以透過直接在digiRunner 入口網 (developer portal) 自主申請帳號以查看/申請取用 API 資源,銀行端僅需要在 digiRunner 管理中心 (Admin Console) 上進行申請的審核。
昕力銀行有許多的第三方合作夥伴以擴張其服務觸角,提供終端使用者/客戶更好的服務體驗。然而一位一位幫合作夥伴建立帳號實在太花費人力資源,透過 digiRunner 的 developer portal, TSP 合作夥伴即可自主申請帳號及查看可用 API。享生活(Enjoy Life) 的 API 開發人員 (tsp2) 也直接透過 developer portal 來創建自己的帳號並申請授權取用 API 。
登入入口網,點選【線上註冊】,輸入相關資料後,點選【線上註冊】,畫面上顯示”註冊完成”
以”tsp2”登入後,點選【會員專區】>【會員基本資料】會看到詳細資料
點選【會員專區】>【申請授權】,進行API授權申請。
選擇欲申請授權API後,點選【保存】,畫面上顯示”保存申請單成功
點選『申請狀態』,確認申請單後,點選【送審】,畫面顯示”送審單送審成功”
*送審後之審核步驟於 digiRunner Admin Console 依據組織設計之內部簽核流程進行。
審核完成後, 享生活之開發人員可以用戶帳號:tsp2 登入入口網後,點選【會員專區】>【已授權API】,查到已申請授權API
(此情境通常實現於第三方平台與使用者間的互動,與銀行並無直接關係,銀行僅進行使用者核身,在TSP取得使用者授權後,提供使用者個人資訊與 TSP 進行加值應用,實際服務流程主要依據 TSP 之商業模式以及服務設計可能會有所不同)
在此情境將透過模擬資源擁有者(消費者) 的透過第三方平台業者(TSP) 來取用銀行服務的歷程,將有助於銀行端以及第三方平台進一步了解開放銀行情境為終端使用者所帶來的行為轉變以及提供更佳服務體驗。
小安就像是其他一般習慣生活中充滿了數位服務的人一樣,他已經習慣透過網銀或是其他金融線上服務來快速查詢或申請其所需的服務。然而她漸漸發現,他有越來越多各式不同的應用程式/帳號/入口,管理不易。她希望可以找到只要單一入口即可取用整合性的平台,因此他選擇了享生活(Enjoy Life)所提供的服務。
在整個使用流程中,小安僅需要依循著享生活(Enjoy Life)平台指示,授權享生活(Enjoy Life)取用他在銀行的特定受保護資訊,便可以輕鬆的享受享生活(Enjoy Life)所提供的整合性介面服務。而當小安不再需要部份服務時,他也可以隨時取消,讓享生活(Enjoy Life)無法再取得他在銀行的相關資訊,資安無疑慮。
Enjoy Life 介面(TSP) : 點選【銀行帳號操作】,同意授權Enjoy Life 取得銀行帳戶資料後進入Enjoy Life的整合服務介面。
使用者首次點選欲使用的服務時(尚未取得銀行授權的資訊),將自Enjoy Life自動轉導至銀行核身系統直接進行認證與授權。
昕力網銀介面: 輸入帳號及密碼,點選【login】
昕力網銀介面: 勾選「我已閱讀以上條款」後,點選【同意】
銀行授權介面: 勾選欲申請授權的項目後,點選【授權】,授權成功
完成授權後,自動導回 Enjoy Life(TSP)服務介面,此時使用者將可於Enjoy Life(TSP)單一服務介面上,使用已取得銀行授權之多個服務(展示如步驟七)
Enjoy Life 介面(TSP):點選【查詢定期存款餘額】,點選【查詢】
Enjoy Life 介面(TSP): 點選【申請信用卡道路救援】,輸入「信用卡卡號」及「車號」後,點選【申請】
撤銷使用「查詢活期存款餘額」及「查詢定期存款餘額」的權限。
重複步驟服務授權: 同意取用個人資訊,請參考上述附圖。於『選擇授權認證』頁面僅勾選”CreditCards”後,按【授權】,完成授權項目調整。
若為未授權項目 (例: 查詢活存餘額),介面則會顯示 “使用者未授權此功能”
