Skip to main content

displayed_sidebar: bankingApiSidebar

Onboarding do Parceiro

Este guia apresenta o passo a passo completo para que sua instituiĆ§Ć£o parceira se conecte Ć  Banking API, desde a configuraĆ§Ć£o da infraestrutura atĆ© a primeira requisiĆ§Ć£o bem-sucedida.

šŸ“‹ VisĆ£o Geralā€‹

O processo de onboarding envolve mĆŗltiplas camadas de seguranƧa que devem ser configuradas em ordem:

  1. Infraestrutura de Rede (VPC, Firewall, etc)
  2. Certificados mTLS (Mutual TLS)
  3. Credenciais OAuth2 (Client ID e Client Secret)
  4. Testes de Conectividade
  5. Primeira RequisiĆ§Ć£o

šŸŽÆ PrĆ©-requisitosā€‹

Antes de comeƧar, certifique-se de que:

  • āœ… VocĆŖ jĆ” implementou os Requisitos de SeguranƧa
  • āœ… VocĆŖ tem um BFF (Backend for Frontend) pronto
  • āœ… VocĆŖ tem um sistema de autenticaĆ§Ć£o funcionando
  • āœ… VocĆŖ tem controle de usuĆ”rios implementado

šŸ“ž Iniciando o Processoā€‹

Para iniciar o processo de onboarding, entre em contato com nossa equipe:

  • Email: [email protected]
  • Assunto: "SolicitaĆ§Ć£o de Onboarding - Banking API"
  • InformaƧƵes necessĆ”rias:
    • Nome da instituiĆ§Ć£o
    • CNPJ
    • Ambiente desejado (Development, Staging, Production)
    • IPs pĆŗblicos que farĆ£o requisiƧƵes (para whitelist)

šŸ” Fase 1: ConfiguraĆ§Ć£o de Infraestruturaā€‹

1.1 ConfiguraĆ§Ć£o de Rede (VPC)ā€‹

Nossa API estĆ” protegida por uma VPC (Virtual Private Cloud). VocĆŖ precisarĆ” configurar sua infraestrutura para se conectar.

O que vocĆŖ precisa fornecer:ā€‹

  • IPs pĆŗblicos dos servidores que farĆ£o requisiƧƵes
  • CIDR blocks (se aplicĆ”vel) da sua infraestrutura
  • Ambiente (Development, Staging, Production)

O que nĆ³s fazemos:ā€‹

  • Adicionamos seus IPs Ć  whitelist da VPC
  • Configuramos rotas de rede
  • Fornecemos informaƧƵes de conectividade

Tempo estimado: 2-3 dias Ćŗteisā€‹

1.2 ConfiguraĆ§Ć£o de Firewallā€‹

Certifique-se de que seu firewall permite conexƵes HTTPS (porta 443) para:

  • Development: api-dev.bancodigital.com
  • Staging: api-staging.bancodigital.com
  • Production: api.bancodigital.com

Exemplo de regra de firewall:ā€‹

# Permitir saĆ­da HTTPS para Banking API
iptables -A OUTPUT -p tcp --dport 443 -d api.bancodigital.com -j ALLOW

1.3 Teste de Conectividadeā€‹

ApĆ³s a configuraĆ§Ć£o da VPC, teste a conectividade:

# Teste bƔsico de conectividade
curl -v https://api.bancodigital.com/gw_banking/healthcheck

# Deve retornar:
# {"status":"ok","timestamp":"2024-11-24T10:00:00Z"}

Nota: Se vocĆŖ receber erro de timeout ou conexĆ£o recusada, verifique com nossa equipe se seus IPs foram adicionados corretamente Ć  whitelist.

šŸ”’ Fase 2: Certificados mTLSā€‹

2.1 O que Ć© mTLS?ā€‹

mTLS (Mutual TLS) Ć© uma camada adicional de seguranƧa onde ambas as partes (vocĆŖ e nĆ³s) se autenticam usando certificados. Isso garante que apenas parceiros autorizados possam se conectar.

2.2 SolicitaĆ§Ć£o de Certificadosā€‹

ApĆ³s a configuraĆ§Ć£o da rede, solicite os certificados mTLS:

  • Email: [email protected]
  • Assunto: "SolicitaĆ§Ć£o de Certificados mTLS - Banking API"
  • InformaƧƵes:
    • Nome da instituiĆ§Ć£o
    • CNPJ
    • Ambiente (Development, Staging, Production)

2.3 Recebimento dos Certificadosā€‹

VocĆŖ receberĆ” os seguintes arquivos:

  • client.crt - Certificado do cliente
  • client.key - Chave privada do cliente
  • ca.crt - Certificado da autoridade certificadora (CA)

āš ļø IMPORTANTE: Mantenha esses arquivos em local seguro. Nunca os commite em repositĆ³rios ou os exponha publicamente.

2.4 Armazenamento Seguroā€‹

OpĆ§Ć£o 1: Secret Manager (Recomendado)ā€‹

// Exemplo: AWS Secrets Manager
import { SecretsManager } from '@aws-sdk/client-secrets-manager';

const secretsManager = new SecretsManager();

async function getCertificate() {
  const secret = await secretsManager.getSecretValue({
    SecretId: 'banking-api/mtls-cert',
  });
  return JSON.parse(secret.SecretString);
}

OpĆ§Ć£o 2: VariĆ”veis de Ambiente (Desenvolvimento)ā€‹

# .env (nunca commitar)
CERT_PATH=/secure/path/to/client.crt
KEY_PATH=/secure/path/to/client.key
CA_PATH=/secure/path/to/ca.crt

OpĆ§Ć£o 3: Vault (HashiCorp Vault)ā€‹

# Armazenar no Vault
vault kv put secret/banking-api/mtls \
  [email protected] \
  [email protected] \
  [email protected]

2.5 ConfiguraĆ§Ć£o no BFFā€‹

Node.js (axios)ā€‹

import axios from 'axios';
import https from 'https';
import { readFileSync } from 'fs';

const httpsAgent = new https.Agent({
  cert: readFileSync(process.env.CERT_PATH!),
  key: readFileSync(process.env.KEY_PATH!),
  ca: readFileSync(process.env.CA_PATH!),
});

const bankingApiClient = axios.create({
  baseURL: 'https://api.bancodigital.com',
  httpsAgent,
});

Python (requests)ā€‹

import requests

cert = ('/path/to/client.crt', '/path/to/client.key')
ca_cert = '/path/to/ca.crt'

response = requests.get(
    'https://api.bancodigital.com/public/gw_banking/v1/accounts/123',
    cert=cert,
    verify=ca_cert,
)

cURL (teste)ā€‹

curl -X GET https://api.bancodigital.com/public/gw_banking/v1/accounts/123 \
  --cert client.crt \
  --key client.key \
  --cacert ca.crt

2.6 ValidaĆ§Ć£o do Certificadoā€‹

Teste se o certificado estĆ” funcionando:

# Teste de handshake mTLS
openssl s_client \
  -connect api.bancodigital.com:443 \
  -cert client.crt \
  -key client.key \
  -CAfile ca.crt

# Deve mostrar:
# Verify return code: 0 (ok)

Nota: Se vocĆŖ receber erro de "certificate verify failed", verifique se estĆ” usando os certificados corretos e se eles nĆ£o expiraram.

šŸ”‘ Fase 3: Credenciais OAuth2ā€‹

3.1 SolicitaĆ§Ć£o de Credenciaisā€‹

ApĆ³s configurar mTLS, solicite as credenciais OAuth2:

  • Email: [email protected]
  • Assunto: "SolicitaĆ§Ć£o de Credenciais OAuth2 - Banking API"
  • InformaƧƵes:
    • Nome da instituiĆ§Ć£o
    • CNPJ
    • Ambiente (Development, Staging, Production)
    • ConfirmaĆ§Ć£o de que mTLS estĆ” configurado

3.2 Recebimento das Credenciaisā€‹

VocĆŖ receberĆ”:

  • CLIENT_ID - Identificador Ćŗnico do seu cliente
  • CLIENT_SECRET - Chave secreta para autenticaĆ§Ć£o

āš ļø IMPORTANTE: Mantenha o CLIENT_SECRET em local seguro. Nunca o exponha no frontend ou em logs.

3.3 Armazenamento Seguroā€‹

# .env (nunca commitar)
CLIENT_ID=seu-client-id-aqui
CLIENT_SECRET=seu-client-secret-aqui

3.4 ConfiguraĆ§Ć£o no BFFā€‹

// token-manager.ts
class TokenManager {
  private token: string | null = null;
  private expiresAt: number = 0;

  async getToken(): Promise<string> {
    // Se o token ainda Ʃ vƔlido, retornar
    if (this.token && Date.now() < this.expiresAt - 5 * 60 * 1000) {
      return this.token;
    }

    // Obter novo token
    const response = await fetch(
      'https://api.bancodigital.com/public/gw_banking/v1/auth/token',
      {
        method: 'POST',
        headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
        body: new URLSearchParams({
          grant_type: 'client_credentials',
          client_id: process.env.CLIENT_ID!,
          client_secret: process.env.CLIENT_SECRET!,
        }),
        // Incluir certificados mTLS se configurado
        agent: httpsAgent, // Node.js
      },
    );

    if (!response.ok) {
      throw new Error(`Falha ao obter token: ${response.statusText}`);
    }

    const data = await response.json();
    this.token = data.access_token;
    this.expiresAt = Date.now() + data.expires_in * 1000;

    return this.token;
  }
}

āœ… Fase 4: Testes de Conectividadeā€‹

4.1 Teste de Health Checkā€‹

curl -X GET https://api.bancodigital.com/gw_banking/healthcheck \
  --cert client.crt \
  --key client.key \
  --cacert ca.crt

# Resposta esperada:
# {"status":"ok","timestamp":"2024-11-24T10:00:00Z"}

4.2 Teste de AutenticaĆ§Ć£oā€‹

curl -X POST https://api.bancodigital.com/public/gw_banking/v1/auth/token \
  --cert client.crt \
  --key client.key \
  --cacert ca.crt \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials" \
  -d "client_id=SEU_CLIENT_ID" \
  -d "client_secret=SEU_CLIENT_SECRET"

# Resposta esperada:
# {
#   "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...",
#   "token_type": "Bearer",
#   "expires_in": 3600
# }

4.3 Teste de RequisiĆ§Ć£o com Tokenā€‹

TOKEN="seu-access-token-aqui"

curl -X GET https://api.bancodigital.com/public/gw_banking/v1/accounts/123 \
  --cert client.crt \
  --key client.key \
  --cacert ca.crt \
  -H "Authorization: Bearer $TOKEN"

# Deve retornar dados da conta ou erro de autorizaĆ§Ć£o se a conta nĆ£o existir

šŸš€ Fase 5: Primeira RequisiĆ§Ć£o Completaā€‹

5.1 Exemplo Completo em Node.jsā€‹

import axios from 'axios';
import https from 'https';
import { readFileSync } from 'fs';

// Configurar mTLS
const httpsAgent = new https.Agent({
  cert: readFileSync(process.env.CERT_PATH!),
  key: readFileSync(process.env.KEY_PATH!),
  ca: readFileSync(process.env.CA_PATH!),
});

// Cliente HTTP com mTLS
const client = axios.create({
  baseURL: 'https://api.bancodigital.com',
  httpsAgent,
});

// Obter token
async function getToken() {
  const response = await client.post(
    '/public/gw_banking/v1/auth/token',
    new URLSearchParams({
      grant_type: 'client_credentials',
      client_id: process.env.CLIENT_ID!,
      client_secret: process.env.CLIENT_SECRET!,
    }),
    {
      headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
    },
  );

  return response.data.access_token;
}

// Fazer requisiĆ§Ć£o
async function getBalance(accountId: string) {
  const token = await getToken();

  const response = await client.get(
    `/public/gw_banking/v1/accounts/${accountId}/balance`,
    {
      headers: {
        Authorization: `Bearer ${token}`,
      },
    },
  );

  return response.data;
}

// Uso
(async () => {
  try {
    const balance = await getBalance('123');
    console.log('Saldo:', balance);
  } catch (error) {
    console.error('Erro:', error.response?.data || error.message);
  }
})();

5.2 Exemplo Completo em Pythonā€‹

import requests
import os

# ConfiguraĆ§Ć£o
BASE_URL = 'https://api.bancodigital.com'
CLIENT_ID = os.getenv('CLIENT_ID')
CLIENT_SECRET = os.getenv('CLIENT_SECRET')
CERT = ('/path/to/client.crt', '/path/to/client.key')
CA_CERT = '/path/to/ca.crt'

# Obter token
def get_token():
    response = requests.post(
        f'{BASE_URL}/public/gw_banking/v1/auth/token',
        data={
            'grant_type': 'client_credentials',
            'client_id': CLIENT_ID,
            'client_secret': CLIENT_SECRET,
        },
        cert=CERT,
        verify=CA_CERT,
    )
    response.raise_for_status()
    return response.json()['access_token']

# Fazer requisiĆ§Ć£o
def get_balance(account_id):
    token = get_token()

    response = requests.get(
        f'{BASE_URL}/public/gw_banking/v1/accounts/{account_id}/balance',
        headers={'Authorization': f'Bearer {token}'},
        cert=CERT,
        verify=CA_CERT,
    )
    response.raise_for_status()
    return response.json()

# Uso
if __name__ == '__main__':
    try:
        balance = get_balance('123')
        print('Saldo:', balance)
    except Exception as e:
        print('Erro:', e)

šŸ“‹ Checklist de Onboardingā€‹

Use este checklist para acompanhar seu progresso:

Infraestruturaā€‹

  • IPs pĆŗblicos fornecidos Ć  equipe ONZ
  • IPs adicionados Ć  whitelist da VPC
  • Conectividade testada (health check)
  • Firewall configurado (porta 443)

Certificados mTLSā€‹

  • Certificados solicitados
  • Certificados recebidos (client.crt, client.key, ca.crt)
  • Certificados armazenados de forma segura
  • Certificados configurados no BFF
  • Handshake mTLS testado e funcionando

Credenciais OAuth2ā€‹

  • Credenciais solicitadas
  • CLIENT_ID recebido
  • CLIENT_SECRET recebido
  • Credenciais armazenadas de forma segura
  • Token OAuth2 obtido com sucesso

Testesā€‹

  • Health check funcionando
  • AutenticaĆ§Ć£o OAuth2 funcionando
  • Primeira requisiĆ§Ć£o bem-sucedida
  • BFF integrado e funcionando

šŸ› Troubleshootingā€‹

Erro: "Connection timeout"ā€‹

Causa: IPs nĆ£o foram adicionados Ć  whitelist da VPC

SoluĆ§Ć£o:

  1. Verifique se forneceu os IPs corretos
  2. Entre em contato com [email protected] para verificar whitelist

Erro: "Certificate verify failed"ā€‹

Causa: Certificado invƔlido ou expirado

SoluĆ§Ć£o:

  1. Verifique se estĆ” usando os certificados corretos
  2. Verifique se os certificados nĆ£o expiraram
  3. Solicite novos certificados se necessƔrio

Erro: "Invalid client credentials"ā€‹

Causa: CLIENT_ID ou CLIENT_SECRET incorretos

SoluĆ§Ć£o:

  1. Verifique se as credenciais estĆ£o corretas
  2. Verifique se nĆ£o hĆ” espaƧos extras
  3. Solicite novas credenciais se necessƔrio

Erro: "mTLS handshake failed"ā€‹

Causa: Certificado e chave privada nĆ£o correspondem

SoluĆ§Ć£o:

  1. Verifique se estĆ” usando o certificado e chave corretos
  2. Teste com openssl: openssl x509 -noout -modulus -in client.crt | openssl md5 e openssl rsa -noout -modulus -in client.key | openssl md5 (devem ser iguais)

šŸ“ž Suporteā€‹

Durante o processo de onboarding, nossa equipe estĆ” disponĆ­vel para ajudar:

  • Email: [email protected]
  • Assunto: "Onboarding - [Nome da InstituiĆ§Ć£o]"
  • Tempo de resposta: 24-48 horas Ćŗteis

šŸŽ‰ PrĆ³ximos Passosā€‹

ApĆ³s concluir o onboarding:

  1. Getting Started - Explore a API
  2. Balance Flow - Entenda o fluxo de saldo
  3. Account Management - Gerencie contas
  4. Errors & Retries - Trate erros adequadamente

displayed_sidebar: bankingApiSidebar

ƚltima AtualizaĆ§Ć£o: 2024-11-24
VersĆ£o: 1.0.0