Table of Contents |
---|
...
Kort claimnavn | Fullt claimnavn | Beskrivelse |
---|---|---|
sub | Subject | Fødselsnummeret til den personen man agerer på vegne av, dvs. enten representert innbygger eller innlogget innbygger dersom innbyggeren representerer seg selv. Ved kall fra Helsenorge er dette også "pasient" kontekst, dvs. den man gjør oppslag på. API/Systemet som mottar JWT-tokenet må alltid kontrollere at de data som forespørres i API-kallet faktisk tilhører den pasient som er “sub” i JWT-tokenet. |
birthdate (nytt claim Q1-2024, for å understøtte at fødselsdato ikke lenger kan utledes av fødselsnummer) | Subject Fødselsdato | Fødselsdato til den personen man agerer på vegne av, dvs. enten representert innbygger eller innlogget innbygger dersom innbyggeren representerer seg selv. Eks: "2011-01-07" |
act_sub | Actor Subject | Fødselsnummeret til personen som gjør oppslaget, dvs. alltid innlogget innbygger |
act_type | Actor Type | Kan inneholde kun en av følgende verdier:
|
act_type_detail (nytt claim Q2-2024, for å gi mer detaljert informasjon om type representasjonsforhold) | Actor Type details | Det er identifisert behov for å gi mer detaljert informasjon om type representasjonsforhold. Det er valgt å innføre et nytt claim for dette i stedet for å utvide lovlige verdier i eksisterene claim for represenatsjonstype. Dette er gjort for å beholde “bakover-kompabilitet”. Eksterne aktører som tar i bruk dette nye claimet (“act_type_detail”), trenger ikke lenger å forhodle seg til det opprinnelige (“act_type”). Claimet kann ha følgende verdier:
|
act_birthdate (nytt claim Q1-2024, for å understøtte at fødselsdato ikke lenger kan utledes av fødselsnummer) | Actor Subject Fødselsdato | Fødseldato til personen som gjør oppslaget, dvs. alltid innlogget innbygger Eks: "1986-07-10" |
scp | Scope | Vil inneholde en kommaseparert liste over hvilke dataområder/opplysninger om personen (sub) det gjøres oppslag på, som tokenet gir innlogget bruker (act_sub) tilgang til. API/systemet som mottar tokenet fra Helsenorge må validere at det “scope” deres data representerer er inkludert i JWT-tokenet før det gis tilgang. Liste over scopes som er definert på Helsenorge finner du her: Gruppering av opplysninger om innbygger (informasjonselementer), for tilgangstyring |
aud | Audience | Kan være med på den enkelte integrasjon. Dette avtales i så fall mellom Aktør og Helsenorge. Derom denne er med: API/systemet som mottar tokenet fra Helsenorge bør validere at verdien i “aud” er lik den identifikator som er avtalt å benytte mellom partene. |
nfb | Not Before | Tidspunktet for når tokenet er gyldig. Vil alltid ha samme verdi som tidspunktet det ble generert på. Vi anbefaler at det benyttes 5 minutter “clock skew” slik at man reduserer feilsituasjoner med servere som tidsmessig ikke er i sync. |
exp | Expiration Time | Tidspunktet for når tokenet utløper Vi anbefaler at det benyttes 5 minutter “clock skew” slik at man reduserer feilsituasjoner med servere som tidsmessig ikke er i sync. |
iat | Issued At | Tidspunktet for når tokenet ble generert. Vil aldri være gyldig i mer enn 30 minutter Vi anbefaler at det benyttes 5 minutter “clock skew” slik at man reduserer feilsituasjoner med servere som tidsmessig ikke er i sync. |
iss | Issuer | Hvem som har generert tokenet, vil alltid være "sikkerhet.helsenorge.no |
...
Dersom ekstrent system har tilgang til Internett:
Prod: https://eksternapi.helsenorge.no/sts/helsenorge-oidc-provideroidcprov/v3/jwk
Test-01: https://eksternapi.hn.test.nhn.no/sts/oidcprov/v3/jwk
Dersom eksternt system kun har tilgang til Helsenettet:
Prod: https://eksternapi-helsenett.helsenorge.no/sts/oidcprov/v3/.well-known/openid-configurationjwk
Test-01: https://eksternapi-helsenett.hn.test.nhn.no/sts/oidcprov/v3/jwk
...