Bruk av ID-porten
ID-porten er en felles innloggingsløsning til offentlige tjenester på internett.
⚠️ Hvis du vil bruke ID-porten i din programvare, må organisasjonen din ha lest og signert bruksvikårene for ID-porten.
Termer | |
---|---|
IDP (identity provider/identitetsleverandør) | En tjeneste som lagrer og vedlikeholder informasjon om digitale identiteter. Eksempler: ID-porten, BankID, Azure Entra, Google Identities. |
OBO (On Behalf Of/på vegne av) | Programvaren til en virksomhet kan logge på en bruker på vegne av virksomheten. |
Omdirigere brukeren til ID-porten
Hvis du vil unngå at brukeren får listen med alle identitetsleverandører (IDP) i nettleseren ved innlogging, kan du sende brukeren direkte til ID-porten. Dette kan gjøres ved å bruke acr_values
-mekanismen i OpenID Connect for å velge hvilken IDP brukeren skal bli omdirigiert til.
Et eksempel
❗ Disse eksemplene gjør bruk av Pushed Authorization Requests, som er obligatorisk for bruk av HelseID. Eldre klienter kan bruke
GET /connect/authorize
-endepunktet, ved bruk av en nettleser.
POST /connect/par HTTP/1.1
Host: helseid-sts.nhn.no
Content-Type: application/x-www-form-urlencoded
client_id=b452b42f-d21e-4ec9-b307-986d49fe2fcf&
scope=openid profile&
...
acr_values=idp:idporten-oidc
(ekstra linjeskift lagt til for bedre lesbarhet)
Velge én tilgjengelig IDP fra ID-porten
For å velge en IDP som ID-porten tilbyr, kan du legge til en av de følgende verdiene i parameteret acr_values
i forespørselen til PAR-endepunktet.
amr:bankid
: BankID
amr:buypass
: Buypass
amr:commfides
: Commfides
amr:minid
: MinID
POST /connect/par HTTP/1.1
Host: helseid-sts.nhn.no
Content-Type: application/x-www-form-urlencoded
client_id=b452b42f-d21e-4ec9-b307-986d49fe2fcf&
scope=openid profile&
...
acr_values=idp:idporten-oidc amr:minid
På vegne av
Bruk av ID-porten innebærer at enheten (organisasjonen) som bruker deres tjenester har lest og singert bruksvilkårene for ID-porten. Soom en følge av dette bør en organisasjon identifisere seg ved brukerpålogging. Vi bruker termen «På vegne av» (OBO) for dette.
- På vegne av: En intern ID brukt mellom HelseID og ID-porten
- Organisasjonsnummeret som ble brukt for å signere bruksvikårene (obligatorisk)
- Navn: Navnet som blir vist for organisasjonen eller klientapplikasjonen i ID-porten (obligatorisk)
- Description: Detaljert beskrivelse
- Client URL: Lenken som trengs for å kunne bruke «tilbake-knappen» i ID-porten (obligatorisk)
Ved autentisering vil et on_behalf_of
-parameter med verdien satt til organisajonsnummeret, bli sendt til PAR-endepunktet på HelseID-tjenesten.
Hvis en on_behalf_of
-verdi blir sendt til ID-porten, vil dette bli reflektert tilbake i token fra HelseID med claimet helseid://claims/client/on_behalf_of
, som vil inneholdet organisasjonsnummeret som brukeren ble autentisert på vegne av.
Eksempel – redirigering direkte til ID-porten og autentisering av brukeren på vegne av en organisasjon (i dette tilfellet; Norsk Helsenett SF)
POST /connect/par HTTP/1.1
Host: helseid-sts.nhn.no
Content-Type: application/x-www-form-urlencoded
client_id=b452b42f-d21e-4ec9-b307-986d49fe2fcf&
scope=openid profile&
...
acr_values=idp:idporten-oidc&
on_behalf_of=994598759