...
Validere at tokenet er en signert jwt
Validere at tokenet er utstedt av ID-porten (
issclaimet er som idporten beskriver)I test
https://test.idporten.noI produksjon
https://idporten.no
Validere at tokenet ikke er utgått (
expclaim)Validere at tokenet er signert av ID-porten (er tokenet signert med privatnøkkelen som tilsvarer den offentlig nøkkelen id-porten referert til fra well-known)
Validere at tokenet er tiltenkt reseptformidleren (audience claim “aud”)
for alle test miljø:
http://nhn.test2-na.reseptformidleren.net/NA/NAWebServiceSoapHttpPortfor prod:
http://nhn.prod-na.reseptformidleren.net/NA/NAWebServiceSoapHttpPort
Validere at tokenet har riktig scope kun har følgende scope: "eresept:nettutleverer" og
openid, dette scopet er gyldig både "openid". Dette gjelder for M9NA1 og M9NA3.Nettutlevererens identitet skal verifiseres og stemme over ens i M9NA1/M9NA3 og OIDC token:
Nettapotekets juridiske enhet sitt organisasjonsnummer skal være i ISO6523 format i "consumer" claimet, se på ID-porten sin dokumentasjon om access token for mer info.
Internt oppslag i Reseptformidlerens register over aktører skal gjøres for å validere at organisasjonsnummeret i nettapotekets virksomhetssertifikat stemmer.
Validerer at identiteten angitt som pålogget kunde i M9NA1/M9NA3 er den samme identiteten som angitt i OIDC tokenets
pidclaim. Identitet er enten fødselsnummer eller d-nummer.Validerer at tokenet har sikkerhetsnivå 4 (claim
acreridporten-loa-high), dvs kunden har logget inn med bankid.Validerer i tokenet at klienten (nettutlevereren) har autentisert seg mot ID-porten med virksomhetssertifikat eller private_key_jwt (d.v.s. integrasjonen mot ID-porten er med "private_key_jwt") effektivt at
client_amrclaimet ervirksomhetssertifikatellerprivate_key_jwt.
...