...
Validere at tokenet er en signert jwt
Validere at tokenet er utstedt av ID-porten (
iss
claimet er som idporten beskriver)I test
https://test.idporten.no
I produksjon
https://idporten.no
Validere at tokenet ikke er utgått (
exp
claim)Validere at tokenet er signert av ID-porten (er tokenet signert med privatnøkkelen som tilsvarer den offentlig nøkkelen id-porten referert til fra well-known)
Validere at tokenet er tiltenkt reseptformidleren (audience claim “aud”)
for alle test miljø:
http://nhn.test2-na.reseptformidleren.net/NA/NAWebServiceSoapHttpPort
for prod:
http://nhn.prod-na.reseptformidleren.net/NA/NAWebServiceSoapHttpPort
Validere at tokenet har riktig scope kun har følgende scope: "eresept:nettutleverer" og
openid
, dette scopet er gyldig både "openid". Dette gjelder for M9NA1 og M9NA3.Nettutlevererens identitet skal verifiseres og stemme over ens i M9NA1/M9NA3 og OIDC token:
Nettapotekets juridiske enhet sitt organisasjonsnummer skal være i ISO6523 format i "consumer" claimet, se på ID-porten sin dokumentasjon om access token for mer info.
Internt oppslag i Reseptformidlerens register over aktører skal gjøres for å validere at organisasjonsnummeret i nettapotekets virksomhetssertifikat stemmer.
Validerer at identiteten angitt som pålogget kunde i M9NA1/M9NA3 er den samme identiteten som angitt i OIDC tokenets
pid
claim. Identitet er enten fødselsnummer eller d-nummer.Validerer at tokenet har sikkerhetsnivå 4 (claim
acr
eridporten-loa-high
), dvs kunden har logget inn med bankid.Validerer i tokenet at klienten (nettutlevereren) har autentisert seg mot ID-porten med virksomhetssertifikat eller private_key_jwt (d.v.s. integrasjonen mot ID-porten er med "private_key_jwt") effektivt at
client_amr
claimet ervirksomhetssertifikat
ellerprivate_key_jwt
.
...