/introspect (under utprøving)

MERK! Dette endepunktet er under utprøving, og skal ikke benyttes uten at dette er avklart på forhånd med NHN

Request

URL: POST https://{Base URL til miljø}/sts/oidcprov/introspect/v1

Content-type: application/x-www-form-urlencoded

Plassering

Navn

Type

Beskrivelse

Plassering

Navn

Type

Beskrivelse

Body

client_id

string

Påkrevd for public clients, benyttes ikke for confidential clients

 

client_assertion_type

string

Påkrevd for confidential clients, skal ha verdien "urn:ietf:params:oauth:client-assertion-type:jwt-bearer". Benyttes ikke for public clients.

 

client_assertion

string

Signert JWT generertr av API-klient. Påkrevd for confidential clients. Benyttes ikke for public clients.

 

token

string

AksessToken som det ønskes informasjon om (det som ble mottat i OIDC-flyten sammen med ID-Token).

Response - Vellykket

Plassering

Navn

Type

Beskrivelse

Plassering

Navn

Type

Beskrivelse

Body

scope

string

Hvilke scope referansetokenet som er sendt inn har. Eks:

"scope": "oidcnavn oidcfodselsdatoinformasjon oidcfodselsnummer"

 

client_id

string

Hvilken API-klient som fikk AksessToekenet. Eks:

"scope": "oidcnavn oidcfodselsdatoinformasjon oidcfodselsnummer"

 

token_type

string

Type Token. Eks:

"token_type": "Bearer"

 

aud

Array of strings

Dersom AksessToken utsedt av Helsenorge OIDCP skal benyttes mot andre API’er enn Helsenorge sitt ekstern-API, kan det avtales bilaterale “udience” mellom API-eier og Helsenorge, som inkluderes i det AksessToken som utsdees. Eks. (tom “audience”)

"aud": [],

 

exp

int

Når AksessTokenet utløper. Eks:

"exp": 1705588591

 

iss

string

Hvilken IDP som har utstedt AksessTokenet. Vurderes endret til samme som i ID-token. Fast verdi pr. nå:

"iss": "sikkerhet.helsenorge.no"

 

sub

string

PseudoID GUID for innbyggeren/pasienten, unik per API-klient

 

 

pid

string

Fødselsnummer til representert innbygger/pasienten

 

name

string

Fullt navn (hvis representert; ellers innlogget)

 

given_name

string

Fornavn (hvis representert; ellers innlogget)

 

family_name

string

Etternavn (hvis representert; ellers innlogget)

 

middle_name

string

Mellomnavn (hvis representert; ellers innlogget)

 

act_sub

string

PseudoID (GUID) for innlogget bruker, unik for klienten.

 

act_pid

string

Fødselsnummer til innlogget bruker.

 

act_name

string

Fullt navn (innlogget)

 

act_given_name

string

Fornavn (innlogget)

 

act_family_name

string

Etternavn (innlogget)

 

act_middle_name

string

Mellomnavn (innlogget)

 

act_type

string

segselv, foreldrerepresentasjon, fullmakt

 

birthdate

(nytt claim Q1-2024, for å understøtte at fødselsdato ikke lenger kan utledes av fødselsnummer)

string

Fødselsdato til den personen man agerer på vegne av, dvs. enten representert innbygger eller innlogget innbygger dersom innbyggeren representerer seg selv.

Eks: "1986-07-10"

 

act_birthdate

(nytt claim Q1-2024, for å understøtte at fødselsdato ikke lenger kan utledes av fødselsnummer)

string

Fødseldato til personen som gjør oppslaget, dvs. alltid innlogget innbygger

Eks: "2011-01-07"

 

active

boolean

AksessTokenet er fremdeles gyldig (uavhengig av verdi i “exp”). Dvs. at AksessTokenet ikke er revokert.

Eksempel på respons:

{ "scope": "oidcnavn oidcfodselsdatoinformasjon oidcfodselsnummer", "client_id": "0f557a70-ff1e-494e-bd26-62812d1a895c", "token_type": "Bearer", "aud": [], "exp": 1705588591, "iss": "sikkerhet.helsenorge.no", "sub": "3ae43e9b-ed88-411c-8bb8-9b95ced0b148", "pid": "05067098546", "name": "Hege Mehus Broch", "given_name": "Hege", "family_name": "Broch", "middle_name": "Mehus", "act_sub": "3ae43e9b-ed88-411c-8bb8-9b95ced0b148", "act_pid": "05067098546", "act_name": "Hege Mehus Broch", "act_given_name": "Hege", "act_family_name": "Broch", "act_middle_name": "Mehus", "act_type": "segselv", "birthdate": "1970-06-05T00:00:00", "act_birthdate": "1970-06-05T00:00:00", "active": true }

Response - Feilet

Mulige feilkoder:

HTTP-status kode

Feilkode (error)

Beskrivelse

HTTP-status kode

Feilkode (error)

Beskrivelse

400

invalid_request

The request is missing a required parameter, includes an
unsupported parameter value (other than grant type),
repeats a parameter, includes multiple credentials,
utilizes more than one mechanism for authenticating the
client, or is otherwise malformed

400

invalid_client

Client authentication failed (e.g., unknown client, no
client authentication included, or unsupported
authentication method). The authorization server MAY
return an HTTP 401 (Unauthorized) status code to indicate
which HTTP authentication schemes are supported. If the
client attempted to authenticate via the "Authorization"
request header field, the authorization server MUST
respond with an HTTP 401 (Unauthorized) status code and
include the "WWW-Authenticate" response header field
matching the authentication scheme used by the client.

400

invalid_grant

The provided authorization grant (e.g., authorization
code, resource owner credentials) or refresh token is
invalid, expired, revoked, does not match the redirection
URI used in the authorization request, or was issued to
another client.

400

unauthorized_client

The authenticated client is not authorized to use this
authorization grant type.

400

unsupported_grant_type

The authorization grant type is not supported by the
authorization server.

400

invalid_scope

The requested scope is invalid, unknown, malformed, or
exceeds the scope granted by the resource owner.

503

 

The authorization server is currently unable to handle
the request due to a temporary overloading or maintenance
of the server.