AM/OpenAM¶
Dersom applikasjonen din trenger ForgeRock AM oppsett i SBS eller FSS, kan dette settes opp ved å kalle tjenesten Named (NAIS Access Management Extension).
Dersom deployregimet til ATOM benyttes kan man angi skipOpenam i deploy request for å slippe konfigurasjon av dette.
Policyoppsett i SBS¶
Oppsett av policy og not enforced urls gjøres som tidligere på AM-serverne, dvs man benytter samme skript for oppsettet. Forskjellen er at dette kalles fra en tjeneste som heter nameD. Denne tjenesten kan kalles ved en enkel curl eller ved bruk av CLI'et som er laget for tjenesten (se README på https://github.com/nais/named).
Følgende krav må være oppfylt ved kall til nameD¶
- Innsendte parametere som må settes (se eksempel nedenfor):
| Parameter name | Description |
|---|---|
| application | applikasjonsnavn i Fasit |
| version | applikasjonens versjon som skal konfigureres |
| environment | miljønavn i Fasit |
| username | brukernavn i Fasit |
| password | passord i Fasit |
- Det sjekkes for gyldighet av
application,environment,usernameogpasswordmot Fasit, ogapplication, ogversionmot Nexus - Filene
app-policies.xmlognot-enforced-urls.txtmå legges inn på Nexus på følgende sti:
https://repo.adeo.no/repository/raw/nais/<appnavn>/<versjon>/am/
Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t og q):
curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>"}' https://named.nais.oera-q.local/configure
NB! Ved oppsett av AM i SBS skal man bruke Named-tjenesten som ligger i SBS (named.nais.oera-q.local eller named.nais.oera.no)
ISSO agent oppsett i FSS¶
Oppsett av ISSO agentene gjøres ved hjelp av REST api'et til AM. Konfigurasjonen vil opprette agent med navn - i AM. For å benytte denne agenten må man autentisere mot AM med bruker agentadmin og dennes passord.
Følgende krav må være oppfylt ved kall til Named¶
- Innsendte parametere som må settes (se eksempel nedenfor):
| Parameter name | Description |
|---|---|
| application | applikasjonsnavn i Fasit |
| version | applikasjonens versjon som skal konfigureres |
| environment | miljønavn i Fasit |
| username | brukernavn i Fasit |
| password | passord i Fasit |
| contextroots | applikasjonens context som agenten skal støtte |
- Det sjekkes for gyldighet av
application,environment,username, ogpasswordmot Fasit, ogapplication, ogversionmot Nexus - I motsetning til AM i SBS trengs det ingen eksterne konfigurasjonsfiler
- Et ekstra parameter kreves for oppsett av korrekte URL'er i openam agenten, nemlig
contextroots, dette er da context-rootene som tidligere ble satt i app-config.xml for gammel plattform, men som nå sendes direkte i requesten (disse kan det være flere av)
Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t og q):
curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>", "contextroots": ["/context1", "/context2"]}' https://named.nais.preprod.local/configure
Retur fra denne requesten vil inneholde agentnavn i AM og hvilke URL'er som er satt opp for verifikasjon. På alle pod'er i NAIS blir det satt opp to environment variables som kan benyttes for å konstruere agentnavnet i applikasjonen, nemlig APP_NAME og FASIT_ENVIRONMENT_NAME. Resten av informasjonen som er nødvendig for å sette opp OpenID og hente tokens kan hentes fra Fasit.
NB! Ved oppsett av ISSO i FSS skal man bruke Named-tjenesten som ligger i FSS (named.nais.preprod.local eller named.nais.adeo.no)
Trust Stores¶
For alle applikasjoner ligger vi inn sertifikatet nav_truststore fra Fasit.
Sertifikat ligger på disk på pathen angitt av environment variabelen NAV_TRUSTSTORE_PATH. Passord til keystoren blir injected som environment variabel NAV_TRUSTSTORE_PASSWORD.
Dersom du bruker NAV sit Java-baseimaget blir keystore og passord til keystore satt automatisk for deg.
For å få dette til å virke MÅ du ha en applikasjonsinstans i Fasit. Denne truststore blir vedlikeholdt på dugnad. Bruk keytool til å liste hvilke sertifikater som som keystoren inneholder.