Anropsinformation REST (HTTP/FHIR)
Beskriver hur säkerhetsintyg anges i REST-anrop.
Dokumentation
För övergripande information om FHIR, se Generell beskrivning av FHIR. Vid anrop till REST-baserade tjänster där det krävs säkerhetsintyg (SAML eller OAuth) anges detta som en parameter i meddelandehuvud (Authorization). Gällande FHIR, se Informationsspecifikation – meddelandehuvud för en sammanställning över relevanta headerparametrar.
Det rekommenderade sättet att anropa E-hälsomyndighetens tjänster är att, som ett inledande steg använda Intygsväxling, för att sedan anropa tjänst med OAuth-intyg. Anledningen till detta är att ett giltigt intyg krävs vid anrop. Ett identitetsintyg i SAML-format har generellt sett kortvarig giltighetstid. Vid växling av identitetsintyg mot ett OAuth-åtkomstintyg ges längre giltighetstid (se Giltighetstid intyg). Dessa intyg går även att förnya under en längre tid, vilket kan ge en bättre användarupplevelse i det anslutande systemet - användaren behöver inte göra ny inloggning/autentisering regelbundet. Vidare är OAuth åtkomstintyg generellt betydligt mindre i storlek jämfört med SAML-intyg, vilket också kan vara av betydelse exempelvis avseende prestanda.
Anrop till tjänst med SAML-intyg eller utan säkerhetsintyg
För ytterligare information om roller och attribut se Behörighetsstyrning. Strukturen på ett meddelande för anrop till FHIR:
- För vård- och apotekspersonal används HTTP-header enligt Authorization bearer med SAML-Assertion.
- För privatperson används HTTP-header parameter enligt Authorization bearer med SAML-Response.
- För system-till-system-anrop (för tjänster som tillåter anrop med tillitsnivå LOA0) utelämnas säkerhetsintyg.
Vård- och apotekspersonal
Authorization bearer används för att ange säkerhetsintyg av typen SAML-Assertion vid FHIR/REST-anrop. SAML-Assertion ska kodas enlig Base64URL (datatracker.ietf.org) och bifogas vid anrop i meddelandehuvud för HTTP-anrop enligt RFC7650 Bearer Toke Usage (datatracker.ietf.org).
Authorization: Bearer <Base64URL-encoded SAML-Assertion>
För mer teknisk information
- om Sambi, se Teknik (sambi.se)
- om Sweden Connect, se Technical Specifications for the Swedish eID Framework (docs.swedenconnect.se).
Privatperson
Authorization bearer används för att ange säkerhetsintyg av typen SAML-Response vid FHIR/REST-anrop. SAML-Response ska kodas enlig Base64URL och bifogas vid anrop i meddelandehuvud för HTTP-anrop enligt RFC6750 Bearer Toke Usage (datatracker.ietf.org).
Authorization: Bearer <Base64URL-encoded SAML-Response>
Anrop till tjänst med OAuth-åtkomstintyg
Authorization bearer används för att ange åtkomstintyg i format OAuth2 vid FHIR/REST-anrop. Ett OAuth-åtkomstintyg fås via E-hälsomyndighetens tjänst för Intygsväxling, där ett säkerhets intyg av typen SAML växlas mot ett OAuth-åtkomstintyg. OAuth-åtkomstintyg bifogas vid anrop i format JSON Web Token (JWT) (datatracker.ietf.org) och anges i medelandehuvud för HTTP-anrop enligt OAuth2 Bearer Token (datatracker.ietf.org).
Authorization: Bearer <JSON Web Token>
Anropsinformation med OAuth-åtkomstintyg som genereras via intygsväxling, för vidare information se Intygsväxling – OAuth token service.
Versionshistorik
Version | Datum | Kommentar |
|---|---|---|
| 1.0 | 2021-11-27 | Ny handbok vård- och apotekstjänster |