Sikkerhetsprofil for identitetsføderasjoner
Dette dokumentet inneholder standardene som kreves for identitets-føderasjoner som HelseID bruker for å godta eksterne innlogginger. Hvis du vil bruke HelseID mot en klient eller et API, så viser vi til dette dokumentet.
| Termer | |
|---|---|
| IDP | En autorisasjonstjener, som beskrevet i RFC 6749. |
| HelseID | En klient (client) som definert i RFC 6749. |
| Claims | Navn og verdi på et informasjonselement. |
| Nøkkelord | Nøkkelordene må, må ikke, skal, skal ikke, bør, og kan i dette dokumentet må tolkes slik som nøkkelordene must, must not, shall, shall not, should, og may i RFC2119. |
Sikkerhetskrav for IDP-er
SI1: IDP-er skal kreve «Authorization Code Flow» som beskrevet i OpenID Connect specification.
SI2: IDP-er skal kreve «Proof Key for Code Exchange» (PKCE). Dette er beskrevet i RFC 7636.
SI3: IDP-er skal kreve mekanismen «Pushed Authorization Requests» (PAR). Dette er beskrevet i RFC 9126.
SI4: IDP-er skal bare tillate forbindelser til tjenere, inkludert HelseID, med bruk av TLS. Alle TLS-forbindelser skal settes opp med bruk av TLS 1.2 eller høyere, og IDP-en må følge RFC 9325.
SI5: IDP-er skal kreve klientautentisering med bruk av private_key_jwt.
SI6: IDP-er skal være oppdatert med tiltak for å håndtere de mest kjente sikkerhetsrisikoene i henhold til OWASP Top Ten.
Funksjonelle krav for IDP-er
FI1: IDP-er må utlevere et ID-token som inneholder følgende claims
- Fødselsnummeret til den innloggede brukeren
- Sikkerhetsnivå for brukerinnloggingen.
FI2: IDP-er må utlevere et ID-token som er signert med en algoritme som HelseID vil godkjenne.