Endepunktet avvikles senest Mai 2022, og alle nye integrasjoner skal baseres på V3 av endepunktet: V3 - OpenID Connect /API-tilgang (IdToken og AccessToken)
(ref: Vilkår og betingelser for bruk av APIer)toc
...
Introduksjon
Versjon 1 av OpenID connect endepunktet til Helsenorge sikkerhetstjeneste støtter UseCase der innbygger allerede er innlogget på Helsenorge og ønsker sømløs overgang til et eksternt system uten ny innlogging. Det støttes kun overgang til eksterne systemer som er såkalt "Confidential clients", dvs. kan holde på en hemmelighet. Dermed støtter ikke endepunktet mobilapplikasjoner. Endepunktet støtter heller ikke at eksternt system får tilgang til API'er på Helsenorge.
...
Attributt | Verdi |
|---|---|
| client_id | Klientens ID |
| grant_type | authorization_code |
| code | autorisasjonskode (code) motatt i autentiseringsresponsen |
| redirect_uri | ønsket redirect_uri, skal være identisk med verdi brukt i autentiseringsforespørsel |
...
Openid-information endepunkt angitt over returnerer de forskjellige endepunkter definert i OpenId connect. Et av disse er endepunktet der sertifikatkjeden for signeringssertifikatet vårt kan hentes ut:
- Prod: https://eksternapi.helsenorge.no/sts/helsenorge-oidc-provider/v1/jwk
- Test: https://eksternapi.hn.test.nhn.no/sts/helsenorge-oidc-provider/v1/jwk
Versjon 1 over brukes av noen kunder, men støtter ikke fult ut OIDC spesifikasjonen. Det er derfor opprettet en v2 versjon hvor keys elementet er i rot.
NB! v2-versjon gjelder både well-known endepunktet (discover) og jwk.
Utlogging (SLO)
Når brukeren skal logges ut fra Helsenorge, må det sendes en redirect til endsession-endepunktet. Adressen til endepunktet er definert i konfigurasjonsendepunktet (well-known endepunkt).
Helsenorge sender en redirect til post_logout_redirect_uri, dersom denne er angitt og definert for klient, og id_token_hint er inkludert. Dersom disse mangler, vil brukeren ikke bli logget ut.
Attributt | Kardinalitet | Beskrivelse |
|---|---|---|
| id_token_hint | anbefalt | Settes lik mottatt id-token. Nødvendig for å kunne sende brukeren tilbake til tjenesteeiers post_logout_redirect_uri etter endt utlogging. |
| post_logout_redirect_uri | anbefalt | Må være forhåndsregistrert på klient som id_token er utstedt til. |
| state | valgfri | Verdi som klient kan bestemme selv. Helsenorge vil inkludere denne tilbake i redirecten tilbake til utloggings-urlen. |
Eksempel på utloggings-url:
...