Autentisering mot VKP-API
Authorization-header
VKP bruker HelseID til autentisering inn mot VKP. For å kunne få en HelseID-klient må man være en godkjent 3.tredjepart hos NHN.
Token legges i Authorization-headeren på følgende format (Bearer Authentication):
Authorization: Bearer [jwt-token-from-HelseID]
HelseID-klienter
VKP krever at en HelseID-klient skal identifisere en(1) unik systeminstans. Dette betyr at en VFT-leverandør vil kunne ha flere klienter hvis leverandøren har sitt system i ulike kommuner. I bilde under er VFT-leverandør 2 koblet til to kommuner og har derfor da to HelseID-klienter (VFT2_Bodø og VFT_Oslo).
HelseID-Scopes
VKP bruker scopes for å bestemme hvilke APIer en avsender har tilgang til. Hvert endepunkt har et eget scope og varierer basert på om man skal lese eller skrive samt hvilke FHIR-ressurs som utveksles.
Formatet på scopet er f.eks:
nhn:vkp/api/user/[FHIR-ressurs].[read|write|*]
For eksempel vil scopet for endepunktet for uthenting av pasientinformasjon være
nhn:vkp/api/user/patient.read
NB! Hvis man er usikker på hvilke scope man skal bruke så finner man dette på de ulike API-operasjonene.
Se mer under VKP APIer
HelseID-Claims
nhn:vkp/client/claims/vkp-id
Når man får opprettet en HelseID-klient vil VKP tilegne denne klienten en intern VKP-id. Dette er for å kunne identifisere systeminstansen. VKP vil motta id-en å tilrettelegge autorisering i sine konfigurasjonsfiler.
client_amr
Spesifisere hvordan klienten ble autentisert. Denne genereres av HelseID. Må ha verdi private_key_jwt.
Mer informasjon om HelseID
HelseID brukes som autentiseringsverktøy på mange ulike helsetjenester og har egne sider med my informasjon. Bruk gjerne litt tid for å få en bedre forståelse om verktøyet:
- NHN Informasjonsside
- Confluence HelseID
- Confluence HelseID - Get Started
- HelseID Github repo med eksempler til "machine-to-machine or user logon authentication methods"
Les også gjennom informasjon på VKP sitt confluence vedr. håndtering av HelseID ved bruk av VKP.