AM/OpenAM¶
Dersom applikasjonen din trenger ForgeRock AM oppsett i FSS, kan dette settes opp ved å kalle tjenesten Named (NAIS Access Management Extension).
Dersom deployregimet til ATOM benyttes kan man angi skipOpenam i deploy request for å slippe konfigurasjon av dette.
Følgende krav må være oppfylt ved kall til nameD¶
- Innsendte parametere som må settes (se eksempel nedenfor):
| Parameter name | Description |
|---|---|
| application | applikasjonsnavn i Fasit |
| version | applikasjonens versjon som skal konfigureres |
| environment | miljønavn i Fasit |
| username | brukernavn i Fasit |
| password | passord i Fasit |
- Det sjekkes for gyldighet av
application,environment,usernameogpasswordmot Fasit, ogapplication, ogversionmot Nexus - Filene
app-policies.xmlognot-enforced-urls.txtmå legges inn på Nexus på følgende sti:
Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t og q):
curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>"}' https://named.nais.oera-q.local/configure
ISSO agent oppsett i FSS¶
Oppsett av ISSO agentene gjøres ved hjelp av REST api'et til AM. Konfigurasjonen vil opprette agent med navn - i AM. For å benytte denne agenten må man autentisere mot AM med bruker agentadmin og dennes passord.
Følgende krav må være oppfylt ved kall til Named¶
- Innsendte parametere som må settes (se eksempel nedenfor):
| Parameter name | Description |
|---|---|
| application | applikasjonsnavn i Fasit |
| version | applikasjonens versjon som skal konfigureres |
| environment | miljønavn i Fasit |
| username | brukernavn i Fasit |
| password | passord i Fasit |
| contextroots | applikasjonens context som agenten skal støtte |
- Det sjekkes for gyldighet av
application,environment,username, ogpasswordmot Fasit, ogapplication, ogversionmot Nexus - Det trengs ingen eksterne konfigurasjonsfiler
- Et ekstra parameter kreves for oppsett av korrekte URL'er i openam agenten, nemlig
contextroots, dette er da context-rootene som tidligere ble satt i app-config.xml for gammel plattform, men som nå sendes direkte i requesten (disse kan det være flere av)
Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t og q):
curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>", "contextroots": ["/context1", "/context2"]}' https://named.nais.preprod.local/configure
Retur fra denne requesten vil inneholde agentnavn i AM og hvilke URL'er som er satt opp for verifikasjon. På alle pod'er i NAIS blir det satt opp to environment variables som kan benyttes for å konstruere agentnavnet i applikasjonen, nemlig APP_NAME og FASIT_ENVIRONMENT_NAME. Resten av informasjonen som er nødvendig for å sette opp OpenID og hente tokens kan hentes fra Fasit.
NB! Ved oppsett av ISSO i FSS skal man bruke Named-tjenesten som ligger i FSS (named.nais.preprod.local eller named.nais.adeo.no)
Trust Stores¶
For alle applikasjoner ligger vi inn sertifikatet nav_truststore fra Fasit.
Sertifikat ligger på disk på pathen angitt av environment variabelen NAV_TRUSTSTORE_PATH. Passord til keystoren blir injected som environment variabel NAV_TRUSTSTORE_PASSWORD.
Dersom du bruker NAV sit Java-baseimaget blir keystore og passord til keystore satt automatisk for deg.
For å få dette til å virke MÅ du ha en applikasjonsinstans i Fasit. Denne truststore blir vedlikeholdt på dugnad. Bruk keytool til å liste hvilke sertifikater som som keystoren inneholder.
Created: 2019-09-17