LNH - Eisen (en aanbevelingen) van de Koppeltaal launch
# | Eis | FHIR service | Bron applicatie | Domein |
---|---|---|---|---|
001 | De applicaties in het domein identificeren zich bij de autorisatie service door middel van JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants | x | ||
002 | Bij de registratie van de applicatie bij domeinbeheer krijgt de applicatie een client_id toegewezen. Deze client_id wordt op verschillende plekken in de OAuth2 flows van SMART on FHIR app launch framework als SMART on FHIR backend services gebruikt. De client_id is altijd de logical identifier van de Device resource. Praktisch gezien is de Device resource dus altijd Device/<client_id>. | x | ||
003 | Applicaties die gebruik maken van de SMART on FHIR app launch framework moeten één of meerdere redirect_uris registreren bij domeinbeheer. | x | ||
004 | De launch maakt gebruik van een application/x-www-form-urlencoded encoded POST in plaats van een GET zoals beschreven in de SMART on FHIR app launch standaard. | x | ||
005 | De launch parameter van de launch wordt gevuld met het HTI token en is verplicht, net als in SMART on FHIR app launch. | x | ||
006 | De iss parameter in de launch is de base URL van de FHIR resource server. In tegenstelling tot de  iss  van de HTI launch token, deze bevat de client_id. | x | ||
007 | De URL van de launch is de URL van de module vastgelegd in de ActivityDefinition.extention['endpoint']. De FHIR Task.instantiatesCanonical en het definition veld van HTI launch token bevatten de waarde van de volledige URL van de ActivityDefinition.url. | x | ||
008 | De scope parameter bij het authorize request is gevuld met vaste waarde 'launch openid fhirUser'. | x | ||
009 | Het token endpoint maakt gebruik van JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants voor het authenticeren van het token request. De client_id zit in het iss veld van het JWT token. | x | ||
010 | De autorisatiestap in de SMART on FHIR app launch moet gebruik maken van de SSO oplossing van het domein indien dat een vereiste is. Potentieel wordt SAML en OIDC ondersteund. OPMERKING: er wordt op moment van schrijven nog onderzocht hoe de verschillende domeinen hiermee overweg gaan. | x | x | |
011 | Koppeltaal maakt gebruik van versie 2.0 van HTI. | x | ||
012 | Indien een applicatie gebruik maakt van het JWKS endpoint, MOET deze de kid header vullen in het HTI token. | x | ||
013 | De issuer (iss) in het HTI token is de client_id van de portal applicatie. | x | ||
014 | De audience (aud) van het token is de Device Id (Device/123). | x |