Document toolboxDocument toolbox

LNH - Eisen (en aanbevelingen) van de Koppeltaal launch

#EisFHIR serviceBron applicatieDomein
001De applicaties in het domein identificeren zich bij de autorisatie service door middel van JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants
x
002Bij de registratie van de applicatie bij domeinbeheer krijgt de applicatie een client_id toegewezen. Deze client_id wordt op verschillende plekken in de OAuth2 flows van SMART on FHIR app launch framework als SMART on FHIR backend services gebruikt. De client_id is altijd de logical identifier van de Device resource. Praktisch gezien is de Device resource dus altijd Device/<client_id>.

x
003Applicaties die gebruik maken van de SMART on FHIR app launch framework moeten één of meerdere redirect_uris registreren bij domeinbeheer.

x
004De launch maakt gebruik van een application/x-www-form-urlencoded encoded POST in plaats van een GET zoals beschreven in de SMART on FHIR app launch standaard.
x
005De launch parameter van de launch wordt gevuld met het HTI token en is verplicht, net als in SMART on FHIR app launch.
x
006De iss parameter in de launch is de base URL van de FHIR resource server. In tegenstelling tot de  iss van de HTI launch token, deze bevat de client_id.
x
007De URL van de launch is de URL van de module vastgelegd in de ActivityDefinition.extention['endpoint']. De FHIR Task.instantiatesCanonical en het definition veld van HTI launch token bevatten de waarde van de volledige URL van de ActivityDefinition.url.
x
008De scope parameter bij het authorize request is gevuld met vaste waarde 'launch openid fhirUser'. 
x
009

Het token endpoint maakt gebruik van JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants voor het authenticeren van het token request. De client_id zit in het iss veld van het JWT token.

x

010

De autorisatiestap in de SMART on FHIR app launch moet gebruik maken van de SSO oplossing van het domein indien dat een vereiste is. Potentieel wordt SAML en OIDC ondersteund.

OPMERKING: er wordt op moment van schrijven nog onderzocht hoe de verschillende domeinen hiermee overweg gaan.

x
x
011

Koppeltaal maakt gebruik van versie 2.0 van HTI.


x
012

Indien een applicatie gebruik maakt van het JWKS endpoint, MOET deze de kid header vullen in het HTI token. 


x
013

De issuer (iss) in het HTI token is de client_id van de portal applicatie.


x
014

De audience (aud) van het token is de Device Id (Device/123).


x