Table of Contents |
---|
Introduksjon
Det er identifisert mange flere situasjoner der det ønskes "sømløs overgang" fra Helsenorge til eksterne systemer uten at innbygger skal måtte logge seg på igjen. Dette kan i utgangspunktet løses dersom det eksterne systemet også benytter ID-porten for pålogging av innbygger.
...
- Informasjon om eventuell representasjon mellom innlogget innbygger og pasient som representeres (foreldre, fullnaktfullmakt, vergemål).
- Dersom ekstrent system etterpå skal ha tilgang til API'er på Helsenorge i context av innlogget/representert innbygger, gis det ut et Aksesstoken som representerer det eksterne systemets rettigheter. Dette kan etterpå benyttes mot API'ene.
...
Attributt | Verdi |
---|---|
client_id | Klientens ID |
grant_type | authorization_code |
code | autorisasjonskode (code) motatt i autentiseringsresponsen |
redirect_uri | ønsket redirect_uri, skal være identisk med verdi brukt i autentiseringsforespørsel |
...
Openid-information endepunkt angitt over returnerer de forskjellige endepunkter definert i OpenId connect. Et av disse er endepunktet der sertifikatkjeden for signeringssertifikatet vårt kan hentes ut:
- Prod: https://eksternapi.helsenorge.no/sts/helsenorge-oidc-provider/v1/jwk
- Test: https://eksternapi.hn.test.nhn.no/sts/helsenorge-oidc-provider/v1/jwk
Versjon 1 over brukes av noen kunder, men støtter ikke fult ut OIDC spesifikasjonen. Det er derfor opprettet en v2 versjon hvor keys elementet er i rot.
NB! v2-versjon gjelder både well-known endepunktet (discover) og jwk.
Utlogging (SLO)
Når brukeren skal logges ut fra Helsenorge, må det sendes en redirect til endsession-endepunktet. Adressen til endepunktet er definert i konfigurasjonsendepunktet (well-known endepunkt).
Helsenorge sender en redirect til post_logout_redirect_uri, dersom denne er angitt og definert for klient, og id_token_hint er inkludert. Dersom disse mangler, vil brukeren ikke bli logget ut.
Attributt | Kardinalitet | Beskrivelse |
---|---|---|
id_token_hint | anbefalt | Settes lik mottatt id-token. Nødvendig for å kunne sende brukeren tilbake til tjenesteeiers post_logout_redirect_uri etter endt utlogging. |
post_logout_redirect_uri | anbefalt | Må være forhåndsregistrert på klient som id_token er utstedt til. |
state | valgfri | Verdi som klient kan bestemme selv. Helsenorge vil inkludere denne tilbake i redirecten tilbake til utloggings-urlen. |
Eksempel på utloggings-url:
...