Publisert - 05.01.2026

Autentisert HelseID-klient

HelseID er en autentiseringsmekanisme for helsesektoren utviklet av Norsk Helsenett. Les mer om HelseID på Norsk Helsenetts hjemmesider, eller på HelseIDs selvbetjeningsportal. Teknisk dokumentasjon og ytterligere info finnes på HelseIDs utviklerportal-side.

HelseID baserer seg på juridisk delegering av rettigheter for databehandling fra de virksomhetene som eier dataen. Les mer om koblingen til meldingsadressering og det implisitte omfanget av disse rettighetene på siden om omfang av rettigheter.

EDI 2.0 bruker client credentials, som betyr at det er klienten som autentiseres og ikke en pålogget bruker.

Krav til oppsett i HelseID

Klientsystem:

  • Du må ha et registrert klientsystem i HelseID.
  • Klientsystemet må tillate "API-kall" som et autentiseringsvalg.
  • Klientsystemet må støtte "Meldingstjener REST API" med nhn:msh som audience.
  • Organisasjonen du skal utveksle meldinger for må delegere rettigheter for HelseID i Altinn. Denne organisasjonen, eller en underorganisasjon, må stå oppført som den virksomheten i Adresseregisteret som eier den tjenesten som skal være adressent i utvekslingen.

Klientkonfigurasjon:

  • Du må opprette en klientkonfigurasjon fra klientsystemet.
  • Klientkonfigurasjonen må ha nhn:msh/api som et scope.
  • Klientkonfigurasjonen må ha herid som et api-spesifikt claim (forklaring).
  • Klientkonfigurasjonen må manuelt godkjennes før den er gyldig for bruk i produksjon.

Krav til kode for autentisering mot HelseID

EDI 2.0 sitt testmiljø bruker HelseID sitt testmiljø. EDI 2.0 sitt produksjonsmiljø bruker HelseID sitt produksjonsmiljø.

EDI 2.0 krever både et token og et DPoP-bevis fra HelseID. Les mer om DPoP på HelseIds utviklerportal-side. Som klient av EDI 2.0 må du lage tilgangstokens med tilhørende dpop-bevis som sendes med API-kallene til EDI 2.0.

Om det API-spesifikke claimet herid

Det API-spesifikke claimet herid vil fases ut. Les mer om dette claimet på siden om omfang av delegerte rettigheter.

  • 0 gir tilgang til alle HER-Id-er som den delegerende organisasjonen har tilgang til (organisasjonsnummeret er automatisk en del av claimet).
  • En bindestrek-separert liste (f.eks. 123-456-789) gir bare tilgang til de oppgitte HER-Id-ene (i eksempelet 123, 456 og 789).

Tips

I testmiljøet kan du bruke test-token-tjenesten fra HelseID for å hente ut et token og tilhørende DPoP-bevis. Dette er enklere enn å konfigurere et klientsystem, så det passer hvis du ønsker å utforske mulighetene rundt EDI 2.0. Men hvis du skal i produksjon må du utvikle en ekte HelseID-integrasjon i test først. Les mer om test-token-tjenesten på HelseIDs utviklerportal-side.

Den enkleste måten å opprette klientsystem på er å bruke HelseIDs selvbetjeningsløsning (test, produksjon). Produksjonssetting av en klient i testmiljøet kan gjøres via selvbetjeningsløsningens testmiljø.

HelseID tilbyr sitt eget kodebibliotek for .NET (Gitub) og java (GitHub) som implementerer sikkerhetsprofilen deres. HelseID har også offentlig tilgjengelig eksempelkode (GitHub).

Det kreves sikkerhetsdokumentasjon og kodegjennomgang med HelseID som en del av løpet for produksjonssetting av et klientsystem. Det må påregnes noe ventetid for en slik gjennomgang. Et par ukers tid, kanskje (uoffisielt estimat).

helseid_clientconfig_ex Eksempel på en klientkonfigurasjon i HelseID selvbetjening, som benytter Meldingstjener SHP REST Test klient som klientsystem. Denne klientkonfigurasjonen er scopet til HER-Id 8142092 gjennom det api-spesifikke claimet herid.

Søk i Utviklerportalen

Søket er fullført!