...
System til System: Der et eksternt system får tilgang til API’er på Helsenorge eller i PVK uten at det kreves at det er i context av en innlogget bruker. Det eksterne systemet er ansvarlig for å autentisere og autorisere brukerne samt at det eksisterer tjenestelig behov.
Helsepersonell innlogget i eksternt system: Det eksterne systemet har en innlogget bruker (helsepersonell) og det kreves at bruker er sterkt identifisert med HelseID for å få tilgang til API
Innbygger går fra Helsenorge til et eksternt system: Innlogget bruker på Helsenorge gjør “uthopp” til et eksternt system uten ny innlogging.
Innbygger skal logges inn i eksternt system eller applikasjon som skal integreres med Helsenorge: Dette er web-applikasjoner/portaler eller mobil-applikasjoner der innbygger er/skal innlogges og skal ha tilgang til API’er/funksjonalitet på Helsenorge på vegne av innbygger
...
Overordnet sikkerhetsmodell
...
Eksternt system må alltid autentisere seg mot Helsenorge sikkerhetstjeneste (Innbygger STS) for å få utstedt en sikkerhetsbillett (AccessToken) før API’er kan benyttes:
Usecase 1 (System-til-system): Helsenorge sin Oauth2 autorisasjonsserver (Innbygger STS). Alle systemer som skal benytte API'er på Helsenorge må først autentisere seg mot Helsenorge sin sikkerhetstjeneste
...
(usecase 1 og 2 over)
Usecase 2 og 3: Når eksternt system
...
understøtte innbygger (pasient)
...
innlogging, benyttes Helsenorge sin OpenId Connect provider
...
. Systemet får da et ID-token (som identifiserer innlogget og representert innbygger) samt et AksessToken for eventuell bruk av API’er på Helsenorge på vegne av innbygger.
Sikkerhetsbilletten (AcessToken) skal etterpå være med i alle kall til Helsenorge API'ene.
Hvordan komme i gang
Ta kontakt med NHN for å avtale integrasjon. Se her for detaljer: Helsenorge-løsninger: Hvordan komme i gang