Skip to main content

Klientregistrering

Klientregistrering er en sentral del av tilgangsstyring med OAuth 2.0 og OIDC. Når du registrerer en klient, får applikasjonen sin egen identitet og kan autentisere seg mot de valgte identitetstilbyderne.

Vi anbefaler å ha et bevisst forhold til hvilke tjenester som skal dele samme audience. Det er ofte mer hensiktsmessig å velge en restriktiv tilnærming, der hver tjeneste får sin egen klientregistrering, fremfor å gruppere flere tjenester under én felles klient. Dette gir bedre kontroll over tilgangsstyring og sikkerhet.

Felles for alle identitetstilbydere på SKIP er at klientregistrering støttes fra plattformen ved hjelp av Kubernetes-operatorer.

  • Digdirator håndterer klientregistrering mot Digdir sine fellesløsninger: ID-porten og Maskinporten.
  • Azurerator håndterer klientregistrering mot Microsoft Entra ID (tidligere kjent som Azure Active Directory).

Når man skal registrere en klient mot en eller flere av identitetstilbyderne, har man tre valg. Man kan benytte seg av Skiperator dersom klientregistreringen hører til en SKIP-applikasjon. Alternativt kan man bruke CRD-ene fra Digdirator og Azurerator direkte.

Skiperator tilbyr et forenklet API i CRD-en Application for å registrere klienter mot ID-porten og Maskinporten. Det jobbes også med et forenklet API for å registrere klienter mot Entra ID, men dette er ikke helt klart ennå.

Fordelen med å benytte Skiperator for klientregistrering er at hemmelighetene som Digdirator oppretter blir automatisk injisert som miljøvariabler i deploymenten til applikasjonen. Dette gjør at applikasjonen enkelt kan få tilgang til hemmelighetene i et kjøretidsmiljø.

🚧 UNDER UTVIKLING 🚧

Opprettelse av app-registrering i Entra ID via spesifikasjonen til Application jobbes med, men er ikke klart helt ennå.