Skip to content

AM/OpenAM

Dersom applikasjonen din trenger ForgeRock AM oppsett i FSS, kan dette settes opp ved å kalle tjenesten Named (NAIS Access Management Extension).

Dersom deployregimet til ATOM benyttes kan man angi skipOpenam i deploy request for å slippe konfigurasjon av dette.

Følgende krav må være oppfylt ved kall til nameD

  • Innsendte parametere som må settes (se eksempel nedenfor):
Parameter name Description
application applikasjonsnavn i Fasit
version applikasjonens versjon som skal konfigureres
environment miljønavn i Fasit
username brukernavn i Fasit
password passord i Fasit
  • Det sjekkes for gyldighet av application, environment, username og password mot Fasit, og application, og version mot Nexus
  • Filene app-policies.xml og not-enforced-urls.txt må legges inn på Nexus på følgende sti:
https://repo.adeo.no/repository/raw/nais/<appnavn>/<versjon>/am/

Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t og q):

curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>"}' https://named.nais.oera-q.local/configure

ISSO agent oppsett i FSS

Oppsett av ISSO agentene gjøres ved hjelp av REST api'et til AM. Konfigurasjonen vil opprette agent med navn - i AM. For å benytte denne agenten må man autentisere mot AM med bruker agentadmin og dennes passord.

Følgende krav må være oppfylt ved kall til Named

  • Innsendte parametere som må settes (se eksempel nedenfor):
Parameter name Description
application applikasjonsnavn i Fasit
version applikasjonens versjon som skal konfigureres
environment miljønavn i Fasit
username brukernavn i Fasit
password passord i Fasit
contextroots applikasjonens context som agenten skal støtte
  • Det sjekkes for gyldighet av application, environment, username, og password mot Fasit, og application, og version mot Nexus
  • Det trengs ingen eksterne konfigurasjonsfiler
  • Et ekstra parameter kreves for oppsett av korrekte URL'er i openam agenten, nemlig contextroots, dette er da context-rootene som tidligere ble satt i app-config.xml for gammel plattform, men som nå sendes direkte i requesten (disse kan det være flere av)

Request sendes til tjenesten (eksemplet gjelder for AM konfigurasjon i t og q):

curl -k -d '{"application": "<appnavn>", "version": "<versjon>", "environment": "<fasitmiljø>", "username": "<fasit brukernavn>", "password": "<fasit passord>", "contextroots": ["/context1", "/context2"]}' https://named.nais.preprod.local/configure

Retur fra denne requesten vil inneholde agentnavn i AM og hvilke URL'er som er satt opp for verifikasjon. På alle pod'er i NAIS blir det satt opp to environment variables som kan benyttes for å konstruere agentnavnet i applikasjonen, nemlig APP_NAME og FASIT_ENVIRONMENT_NAME. Resten av informasjonen som er nødvendig for å sette opp OpenID og hente tokens kan hentes fra Fasit.

NB! Ved oppsett av ISSO i FSS skal man bruke Named-tjenesten som ligger i FSS (named.nais.preprod.local eller named.nais.adeo.no)

Trust Stores

For alle applikasjoner ligger vi inn sertifikatet nav_truststore fra Fasit.

Sertifikat ligger på disk på pathen angitt av environment variabelen NAV_TRUSTSTORE_PATH. Passord til keystoren blir injected som environment variabel NAV_TRUSTSTORE_PASSWORD.

Dersom du bruker NAV sit Java-baseimaget blir keystore og passord til keystore satt automatisk for deg.

For å få dette til å virke MÅ du ha en applikasjonsinstans i Fasit. Denne truststore blir vedlikeholdt på dugnad. Bruk keytool til å liste hvilke sertifikater som som keystoren inneholder.