Gå til hovedinnhold

Terminologi

Her finner du en oversikt og beskrivelse av ord og uttrykk som er relevante i forbindelse med HelseID

Bruker

En bruker er et menneske som bruker en registrert klient for å få tilgang til ressurser.

Klient

En klient er programvare som forespør tokens fra HelseID på to måter:

  • For å autentisere en bruker – hvorpå det vil utstedes et identity token.
  • For å aksessere en ressurs – hvorpå det vil utstedes et access token.

En klient må være registrert og konfigurert i HelseID.

Ressurser

En ressurs er noe HelseID skal beskytte, vi opererer med to typer ressurser:

  • Identitetsressurs - for eksempel brukeridentitet
  • API-ressurs - et tjenestegrensesnitt (API)

Claims

Et claim er en påstand om en ressurs, for eksempel e-postadresse eller fødselsnummer.

Scope

Et scope indikerer hva slags ressurser et token skal få tilgang til. En ressurs i denne sammenhengen kan være et sett med påstander (claims) eller tilgang til et tjenestegrensenitt (API).

Fordi et scope kan bety tilgang til et tjenestegrensesnitt, kan et scope formuleres som en autorisasjon. Det er dog viktig å merke seg at dette da blir en autorisasjon på endepunktsnivå, ikke en tilgangskontroll av brukers tilgang til helseinformasjon.

Et token kan inneholde flere scopes. I HelseID konfigureres et scope som minimum ett underelement av en ressurs, som typisk vil bety grunnleggende tilgang til ressursen. Flere scopes konfigurert for samme ressurs vil bety ulike former for tilgang til samme ressurs.

Identity token

Et identity token representerer utfallet av en autentiseringsprosess. Det inneholder minimum et claim kalt sub (subject) – en identifikator for brukeren, og informasjon om når og hvordan brukeren ble autentisert. Token-et kan inneholde ytterligere identitetsdata.

Et identity token er definert i OpenID Connect-spesifikasjonen, og skal være av formatet JWT (JSON Web Token), som er tredelt og består av en header, en payload og en kryptografisk signatur. Denne signaturen vil stamme fra HelseID sitt signeringssertifikat.

Access token, bearer token og reference token

Et access token, som også kan være et bearer token, representerer tilgangen til en beskyttet ressurs som er utstedt av HelseID.

Et bearer token kan brukes fritt av den som er i besittelse av det. Noen tokens er det som kalles "sender constrained", og krever at bæreren må bevise at den er i besittelse av en kryptografisk nøkkel (“proof of possession”). I dag kan denne bevisførselen løses ved en knytning til en to-veis-TLS sesjon (OAuth mTLS).

OAuth 2.0-spesifikasjonen stiller ingen formatkrav til access tokens. De kan dermed inneholde en hvilken som helst tekst. HelseID tilbyr to typer access tokens:

  • JWT (JSON Web Token) – også kalt self-contained token – tredelt med header, payload og signatur fra HelseIDs signeringssertifikat. Token-et inneholder informasjon om bærende klient og eventuelt en bruker.
  • Reference token – en nøkkel som refererer et token lagret i HelseID sin operasjonelle database, hvis innhold mottakende klient kan hente ved å aksessere introspection-endepunktet vedlagt reference token-et, samt en hemmelig API-nøkkel for klienten.

Refresh token

Access tokens kan konfigureres til å ha kort levetid, av sikkerhetsmessige årsaker. For å få et nytt access token, kan man bruke et refresh token som har lengre levetid.