| Table of Contents |
|---|
...
Ved slike behov skal det eksterne systemet benytte Helsenorge sikkerhetstjeneste som OpenID Connect provider i stedet for ID-porten. Det er imidlertid en viktig funksjonell begrensning i vår løsning, nemlig at innbygger på forhånd må være logget på Helsenorge.no. Eksterne systemer kan dermed ikke benytte Helsenorge som en generell mekanisme for pålogging til sine tjenester. Denne begrensningen er et bevist valg.
OpenId Connect flyt
Figuren viser en overordnet funksjonell skisse. Detaljert flytdiagram vises etterpå.
...
Attributt | Verdi |
|---|---|
| client_id | Klientens ID |
| grant_type | authorization_code |
| code | autorisasjonskode (code) motatt i autentiseringsresponsen |
| redirect_uri | ønsket redirect_uri, skal være identisk med verdi brukt i autentiseringsforespørsel |
...
Openid-information endepunkt angitt over returnerer de forskjellige endepunkter definert i OpenId connect. Et av disse er endepunktet der sertifikatkjeden for signeringssertifikatet vårt kan hentes ut:
- Prod: https://eksternapi.helsenorge.no/sts/helsenorge-oidc-provider/v1/jwk
- Test: https://eksternapi.hn.test.nhn.no/sts/helsenorge-oidc-provider/v1/jwk
Versjon 1 over brukes av noen kunder, men støtter ikke fult ut OIDC spesifikasjonen. Det er derfor opprettet en v2 versjon hvor keys elementet er i rot.
NB! v2-versjon gjelder både well-known endepunktet (discover) og jwk.
Utlogging (SLO)
Når brukeren skal logges ut fra Helsenorge, må det sendes en redirect til endsession-endepunktet. Adressen til endepunktet er definert i konfigurasjonsendepunktet (well-known endepunkt).
Helsenorge sender en redirect til post_logout_redirect_uri, dersom denne er angitt og definert for klient, og id_token_hint er inkludert. Dersom disse mangler, vil brukeren ikke bli logget ut.
Attributt | Kardinalitet | Beskrivelse |
|---|---|---|
| id_token_hint | anbefalt | Settes lik mottatt id-token. Nødvendig for å kunne sende brukeren tilbake til tjenesteeiers post_logout_redirect_uri etter endt utlogging. |
| post_logout_redirect_uri | anbefalt | Må være forhåndsregistrert på klient som id_token er utstedt til. |
| state | valgfri | Verdi som klient kan bestemme selv. Helsenorge vil inkludere denne tilbake i redirecten tilbake til utloggings-urlen. |
Eksempel på utloggings-url:
...