AM/OpenAM¶
Dersom applikasjonen din trenger ForgeRock AM oppsett i FSS, kan dette settes opp ved å kalle tjenesten Named (NAIS Access Management Extension).
Dersom deployregimet til ATOM benyttes kan man angi skipOpenam
i deploy request for å slippe konfigurasjon av dette.
Følgende krav må være oppfylt ved kall til nameD¶
- Innsendte parametere som må settes (se eksempel nedenfor):
Parameter name | Description |
---|---|
application | applikasjonsnavn i Fasit |
version | applikasjonens versjon som skal konfigureres |
environment | miljønavn i Fasit |
username | brukernavn i Fasit |
password | passord i Fasit |
- Det sjekkes for gyldighet av
application
,environment
,username
ogpassword
mot Fasit, ogapplication
, ogversion
mot Nexus - Filene
app-policies.xml
ognot-enforced-urls.txt
må legges inn på Nexus på følgende sti:
Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t
og q
):
curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>"}' https://named.nais.oera-q.local/configure
ISSO agent oppsett i FSS¶
Oppsett av ISSO agentene gjøres ved hjelp av REST api'et til AM. Konfigurasjonen vil opprette agent med navn - i AM. For å benytte denne agenten må man autentisere mot AM med bruker agentadmin og dennes passord.
Følgende krav må være oppfylt ved kall til Named¶
- Innsendte parametere som må settes (se eksempel nedenfor):
Parameter name | Description |
---|---|
application | applikasjonsnavn i Fasit |
version | applikasjonens versjon som skal konfigureres |
environment | miljønavn i Fasit |
username | brukernavn i Fasit |
password | passord i Fasit |
contextroots | applikasjonens context som agenten skal støtte |
- Det sjekkes for gyldighet av
application
,environment
,username
, ogpassword
mot Fasit, ogapplication
, ogversion
mot Nexus - Det trengs ingen eksterne konfigurasjonsfiler
- Et ekstra parameter kreves for oppsett av korrekte URL'er i openam agenten, nemlig
contextroots
, dette er da context-rootene som tidligere ble satt i app-config.xml for gammel plattform, men som nå sendes direkte i requesten (disse kan det være flere av)
Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t
og q
):
curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>", "contextroots": ["/context1", "/context2"]}' https://named.nais.preprod.local/configure
Retur fra denne requesten vil inneholde agentnavn i AM og hvilke URL'er som er satt opp for verifikasjon. På alle pod'er i NAIS blir det satt opp to environment variables som kan benyttes for å konstruere agentnavnet i applikasjonen, nemlig APP_NAME
og FASIT_ENVIRONMENT_NAME
. Resten av informasjonen som er nødvendig for å sette opp OpenID og hente tokens kan hentes fra Fasit.
NB! Ved oppsett av ISSO i FSS skal man bruke Named-tjenesten som ligger i FSS (named.nais.preprod.local eller named.nais.adeo.no)
Trust Stores¶
For alle applikasjoner ligger vi inn sertifikatet nav_truststore fra Fasit.
Sertifikat ligger på disk på pathen angitt av environment variabelen NAV_TRUSTSTORE_PATH
. Passord til keystoren blir injected som environment variabel NAV_TRUSTSTORE_PASSWORD
.
Dersom du bruker NAV sit Java-baseimaget blir keystore og passord til keystore satt automatisk for deg.
For å få dette til å virke MÅ du ha en applikasjonsinstans i Fasit. Denne truststore blir vedlikeholdt på dugnad. Bruk keytool til å liste hvilke sertifikater som som keystoren inneholder.
Created: 2019-09-17