Styre innlogging i HelseID
HelseID er en identitetsføderasjon og tilbyr ingen egen innlogging. Når et klientsystem ber HelseID om en brukerinnlogging får brukeren presentert en liste over mulige identitetsleverandører (IDP-er) og må velge den de ønsker å bruke. Etter innlogging returnerer IDP-en informasjon om innlogget bruker tilbake til HelseID der informasjonen blir behandlet og standardisert før den returneres tilbake til klientsystemet.
HelseID tilbyr integrasjoner med alle de store nasjonale identitetsleverandørene som tilbyr identiteter på høyt nivå, samt ID-porten. I tillegg kan HelseID videreføre identiteter fra Helseplattformen og Helse Midt-Norge slik at ansatte der kan gjenbruke sin lokale innlogging. Identiteter fra Helseplattformen er også vurdert på sikkerhetsnivå høyt, Helse Midt-Norge er vurdert på nivå betydelig.
Hvilke IDP-er som støttes av en applikasjon kan tilpasses av eieren i HelseID Selvbetjening, men standardoppsettet tilbyr følgende valg:
- Buypass
- Commfides
- BankID
- ID-Porten
- Helse Midt-Norge RHF
En fullstendig liste over tilgjengelige IDP-er finnes i metadataene til HelseID.
Spesialtilfellet der applikasjonen bare støtter én IDP
Eieren av en applikasjon (et klientsystem i HelseID Selvbetjening) kan sette applikasjonen opp til å bare støtte en enkelt IDP i HelseID Selvbetjening. I dette tilfellet vil brukeren aldri se innloggingsmenyen til HelseID, de blir i stedet for sendt rett til den valgte IDP-en. Dersom en feilsituasjon oppstår slik at IDP-en blir utilgjengelig, vil brukeren ikke bli videresendt. Da viser HelseID i stedet innloggingssiden med standardoppsettet for IDP-er.
Valg av IDP ved innlogging
I kjøretid kan en klient kontrollere hvilke IDP-er brukeren tilbys ved å bruke acr_values-parameteret i forespørselen til PAR-endepunktet. Følgende verdier kan brukes:
| Verdi | Konsekvens |
|---|---|
Level4 eller High |
Filtrerer listen over IDP-er til å bare vise de som tilbyr identiteter på høyt nivå. Merk at dette parameteret sendes videre til ID-porten og vil påvirke listen over tilgjengelige IDP-er der også. |
idp:buypass-oidc |
Sender brukeren rett til innlogging via Buypass. |
idp:commfides-oidc |
Sender brukeren rett til innlogging via Commfides. |
idp:bankid-oidc |
Sender brukeren rett til innlogging via BankID. |
idp:idporten-oidc |
Sender brukeren rett til innlogging via ID-Porten. |
idp:helse-midt-oidc |
Sender brukeren rett til innlogging via Helse Midt-Norge RHF, dette vil normalt føre til Single Sign-On for personer som har logget inn med Smartkort i Helse-Midt-maskiner. |
idp:helseplattformen-oidc |
Sender brukeren rett til innlogging via Helseplattformenm dette vil normalt føre til Single Sign-On for personer som er logget inn i Helseplattformen. |
For eksempel kan klienten sende brukeren rett til BankID ved å legge ved følgende parameter i forespørselen: acr_values=idp:bankid-oidc.
Detaljert styring av Buypass
Klienten kan legge ved en ekstra verdi i acr_values for å detaljstyre oppførselen til Buypass:
| Verdi | Konsekvens |
|---|---|
idp:buypass-oidc bp:amr:sc |
Sender brukeren rett til innlogging med smartkort i portalen til Buypass. |
idp:buypass-oidc bp:amr:mobile |
Sender brukeren rett til innlogging med Mobilapp i portalen til Buypass. |
idp:buypass-oidc bp:amr:pwd_otp |
Sender brukeren rett til innlogging med brukernavn, passord og engangskode på SMS i portalen til Buypass. |
idp:buypass-oidc bp:idp_hint:<tenantID> |
Sender brukeren rett til innlogging med Fido2-brikke i portalen til Buypass. Riktig verdi for <tenantID> får du fra Buypass. |
Detaljert styring av ID-porten
Klienten kan legge ved en ekstra verdi i acr_values for å detaljstyre oppførselen til ID-porten:
| Verdi | Konsekvens |
|---|---|
idp:idporten-oidc amr:bankid |
Sender brukeren rett til innlogging i BankID via integrasjonen til ID-porten. |
idp:idporten-oidc amr:buypass |
Sender brukeren rett til innlogging i Buypass via integrasjonen til ID-porten. |
idp:idporten-oidc amr:commfides |
Sender brukeren rett til innlogging i Commfides via integrasjonen til ID-porten. |
idp:idporten-oidc amr:minid |
Sender brukeren rett til innlogging i MinID via integrasjonen til ID-porten. |
idp:idporten-oidc Level4 |
Filtrerer listen over IDP-er i ID-Porten til kun å vise de som tilbyr identiteter på høyt nivå. |
Når skal jeg bruke ID-porten?
ID-porten gir tilgang til noen av de samme identitetsleverandørene som også finnes i innloggingssiden på HelseID. ID-porten er ikke tilgjengelig på Helsenettet, så dere kan oppleve problemer med tilgjengelighet. Vi anbefaler derfor bruk av Buypass, Commfides eller BankID som foretrukne IDP-er. ID-porten er nyttig som et ekstra alternativ for å bedre tilgjengelighet i tilfeller der det eksisterer feilsituasjoner ved andre identitetsleverandører.