Hjem  >  idporten  >  oidc  >  releaser

19-11 OIDC

Siste release før jul etablerer Maskinporten som ei sjølvstendig teneste, og samstundes lanserer me i samarbeid med Altinn ein pilot der kunder kan delegering tildelte API-tilganger vidare til underleverandørar.

For OIDC-provider inneheld releasen primært ein del ytelsesforbetringar.

Releasen vart produksjonssatt Dec 10, 2019

Ny funksjonalitet:

PoC: Ekstern delegering av API-tilgang (Shipped)

Funksjonalitet som lar API-konsumenter delegere sin tildelte API-tilgang videre til en systemleverandør.  Gyldig delegering må foreligge for at ID-porten skal kunne utstede tokens. Selve delegeringshandlingen skjer ved at bemyndiget person for virksomheten logger inn i Altinn og utfører delegering.

I 2019 realiseres en pilot av funksjonaliten.

Maskinporten som eigen teneste (Ready to ship)

Maskinporten skal etableres på eigne applikasjonsservere, for å frikoble avhengigheiter til person-innloggingane i OIDC-provider.

Tiltaket medfører at Maskinporten får eigne metadata, og kundar må sikre at dei konfigurer integrasjonane sine mot riktig “port”.

Forbetringar:

Sperre for bruk av # i redirect_uri (PBLEID-18884)

Ihht Oauth2-spec’en er det ikkje tillatt å bruke fragment (hash-teikn) i redirect-uri’er, so vi legg inn sperre for å kunne registrere dette.

https://tools.ietf.org/html/rfc6749#section-3.1.2 seier “The redirection endpoint URI […] MUST NOT include a fragment component.”

Publisere lista over API-prefixer som åpne data (PBLEID-18840)

Det kan vere nyttig for andre å vite kva prefix’er som er definert i ID-porten/Maskinporten og kven som eig desse. Difor lagar me eit åpent endpunkt “https://integrason.difi.no/prefix/all” som tilbyr dette.

Feilrettingar:

auth_time i ID-token skal settes lik AuthnInstant fra SAML assertion (PBLEID-18981)

auth_time i ID-token vert idag sett til tidspunktet når oauth2-autorisasjonen blei oppretta. Dette blir feil dersom innlogginga er basert på ein alleiere ekisisterande SSO-sesjon frå ID-porten SAML. Fiksast ved å setje den lik “AuthnInstant” i AuthnStatement fra SAML2 assertion.

Swagger-dokumentasjon av clientrequestresource har to ulovelege claims (PBLEID-18861)

OIDCClientExternalRequestResource har to mangler:

  • active fjernes (dette blir administrert av Difi.)
  • presisere at client_orgno berre kan setjast av leverandørar (altso dei som har idporten:dcr.supplier scope)