ID-Porten
For å registrere en klient i ID-porten, kan du enten gjøre det i Digdir sin selvbetjeninsløsning eller gjennom Kubernetes-operatoren Digdirator. Digdirator er en Kubernetes-operator utviklet av NAV sitt plattformteam (NAIS) som skal gjøre det enkelt å deklarativt sette opp og vedlikeholde integrasjoner mot Digdir sine systemer. Dette inkluderer ID-Porten-integrasjoner og Maskinporten-integrasjoner, men per nå ikke Annsattporten-integrasjoner.
Digdirator støtter kun klientregistreringer mot ID-porten og Maskinporten. For Ansattporten må klientregistreringer gjøres manuelt i Digdir sin selvbetjeningsløsning.
🧪 Testmiljø for ID-Porten
Digdir tilbyr ID-Porten i et testmiljø, der du kan teste applikasjonen din med syntetiske brukere fra Test-Folkeregisteret.
For å registrere en klient mot ID-Porten sitt testmiljø så kan du enten gjøre det i Digdir sin selvbetjeningsløsning i test
eller opprette en IDPortenClient-ressurs i dev-clustrene til SKIP, i.e. atgcp1-dev eller atkv3-dev.
🪪 IDPortenClient
En IDPortenClient er en CRD som lar brukere deklarativt opprette og vedlikeholde ID-Porten-klientregistreringer.
Ztoperator støtter per nå kun klientregistreringer som identifiserer seg mot ID-porten med client_secret_post.
Ettersom Digdirator kun oppretter klientregistreringer med private_key_jwt, så vil disse ikke fungere med Ztoperator.
Vi jobber med å få på plass støtte for private_key_jwt i Ztoperator.
spec (object, required) – Spesifikasjon til IDPortenClient
secretName (string, required) – Navnet på den resulterende Secret-ressursen som vil bli opprettet.
integrationType (string, optional) – Definerer integrasjonstypen for klienten. Bestemmer hvilke scopes som kan registreres. Kan ikke endres etter opprettelse. Tillatte verdier: krr, idporten, api_klient.
scopes ([]string, optional) – Definerer OAuth2-scopes for klienten. Begrenset basert på integrationType.
frontchannelLogoutURI (string, optional) – URL som ID-porten omdirigere til når en utlogging utløses av en annen applikasjon.
postLogoutRedirectURIs ([]string, optional) – Liste over gyldige URI-er hvor ID-porten kan omdirigere etter utlogging.
redirectURIs ([]string], optional) – Liste over redirect URI-er som skal registreres hos DigDir.
accessTokenLifetime (integer, optional) – Maksimal levetid i sekunder for access_token som returneres fra ID-porten. Min: 1, maks: 3600.
clientURI (string, optional) – URL til klienten brukt av DigDir når en 'tilbake'-knapp vises eller ved feil.
clientName (string, optional) – Navnet på klienten registrert hos DigDir. Vises under innlogging for brukerorienterte flyter.
sessionLifetime (integer, optional) – Maksimal øktlevetid i sekunder for en innlogget sluttbruker for denne klienten. Min: 3600, maks: 28800.
ssoDisabled (bool, optional) – Kontrollerer Single Sign-On-oppsettet for klienten. Hvis satt til true, er SSO deaktivert.
Følgende eksempel registrerer en klientintegrasjon mot ID-porten av typen idporten.
Når registrering er fullført vil Digdirator opprette Kubernetes-hemmeligheten idporten-secret i namespacet tilgangsstyring-main.
apiVersion: nais.io/v1
kind: IDPortenClient
metadata:
name: test-client
namespace: tilgansstyring-main
spec:
clientName: Test Application
clientURI: https://test-app.atgcp1-sandbox.kartverket-intern.cloud
frontchannelLogoutURI: https://test-app.atgcp1-sandbox.kartverket-intern.cloud/oauth2/logout
integrationType: idporten
redirectURIs:
- https://test-app.atgcp1-sandbox.kartverket-intern.cloud/oauth2/callback
scopes:
- openid
- profile
secretName: idporten-secret
apiVersion: v1
kind: Secret
metadata:
name: idporten-secret
namespace: tilgangsstyring-main
data:
IDPORTEN_CLIENT_ID: ++++++++
IDPORTEN_CLIENT_JWK: ++++++++
IDPORTEN_ISSUER: ++++++++
IDPORTEN_JWKS_URI: ++++++++
IDPORTEN_REDIRECT_URI: ++++++++
IDPORTEN_TOKEN_ENDPOINT: ++++++++
IDPORTEN_WELL_KNOWN_URL: ++++++++
type: Opaque