Table of Contents |
---|
...
- response_type: Ifbm. autentisering skal denne være "code".
- client_id: Klientens tildelte id.
- redirect_uri: URI som sluttbruker skal redirectes tilbake til etter fullført authentisering.
- scope: Scope som forespørres. For autentiseringer må "openid" brukes, eventuelle andre scopes (for å benytte API'er) kan også angis.
- state: Verdi som settes av klient og returneres i callback-responsen etter fullført autentisering. Bør benyttes til å implementere CSRF-beskyttelse
- nonce: Verdi som settes av klient og returneres som en del av ID token. Bør brukes til å binde en klient-sesjon til et gitt ID-token, og hindre replay attacks.
- ui_locales: Ønsket språk brukt i Helsenorge. Støtter nb eller nn.
...
Parameter | Verdi |
---|---|
Http-metode | POST |
Content-type | application/x-www-form-urlencoded |
Authorization | Basic <ClientSecret> |
Samt at følgende attributter må sendes inn i requesten:
Attributt | Verdi |
---|---|
client_id | Klientens ID |
grant_type | authorization_code |
code | autorisasjonskode (code) motatt i autentiseringsresponsen |
redirect_uri | ønsket redirect_uri, skal være identisk med verdi brukt i autentiseringsforespørsel |
...
Openid-information endepunkt angitt over returnerer de forskjellige endepunkter definert i OpenId connect. Et av disse er endepunktet der sertifikatkjeden for signeringssertifikatet vårt kan hentes ut:
- Prod: https://eksternapi.helsenorge.no/sts/helsenorge-oidc-provider/v1/jwk
- Test: https://eksternapi.hn.test.nhn.no/sts/helsenorge-oidc-provider/v1/jwk
Versjon 1 over brukes av noen kunder, men støtter ikke fult ut OIDC spesifikasjonen. Det er derfor opprettet en v2 versjon hvor keys elementet er i rot.
NB! v2-versjon gjelder både well-known endepunktet (discover) og jwk.
Utlogging (SLO)
Når brukeren skal logges ut fra Helsenorge, må det sendes en redirect til endsession-endepunktet. Adressen til endepunktet er definert i konfigurasjonsendepunktet (well-known endepunkt).
Helsenorge sender en redirect til post_logout_redirect_uri, dersom denne er angitt og definert for klient, og id_token_hint er inkludert. Dersom disse mangler, vil brukeren ikke bli logget ut.
Attributt | Kardinalitet | Beskrivelse |
---|---|---|
id_token_hint | anbefalt | Settes lik mottatt id-token. Nødvendig for å kunne sende brukeren tilbake til tjenesteeiers post_logout_redirect_uri etter endt utlogging. |
post_logout_redirect_uri | anbefalt | Må være forhåndsregistrert på klient som id_token er utstedt til. |
state | valgfri | Verdi som klient kan bestemme selv. Helsenorge vil inkludere denne tilbake i redirecten tilbake til utloggings-urlen. |
Eksempel på utloggings-url:
...