Innledning

HelseId har innflørt krav om at alle API-klienter skal støtte sikkerhetsmekansimen DPoP. Som kjent (i henhold til tidligere varsel) skal alle API-klienter som benytter Helsenorge API’er i system-til-system kontekst benytte HelseId.

Vi innfører nå støtte for bruk av DPoP mot “Helsenorge Ekstern-API”. Senere vil det bli innført krav om at alle API-klientene benytter DPoP mot Helsenorge Ekstern-API.

Hva endres

Se mer informasjon om DPoP og hvordan dette benyttes mot Helsenorge Ekstern-API HER.

Hvorfor gjøres endringen

Det har lenge vært en kjent svakhet i Oauth2-protokollene at en AksessToken kan benyttes av andre API-klienter enn den API-klient tokenet er utstedt til, dersom det kommer på avveie. DPoP hindrer en slik mulighet. DPoP er nå en etablert del av Oauth2, og innføres derfor også på Helsenorge som et sikkerhetsttiltak.

Innføringen av slik støtte

• Fra og med Release 25.05 (prodsettes 7. mai 2025), kan aktører også benytte DPoP token. Men, i denne releasen validere vi ikke at sikkerhetsmekanismen i DPoP er oppfylt.

• Fra og med Release 25.07 (prodsettes 18. juni 2025) vil det valideres at sikkerhetsmenismen i DPoP er benyttet korrekt.

• Senere (koordinert med HelseId) vil det ikke lenger tillates bruk av bearer-token, og det tillates kun tilgang med bruk av DPoP.. Dette vil varsles separat.

Frister for at alle API-klienter må støtte DPoP

Vil kommuniseres senere, mest sannsynlig andre halvår 2025.