20-09 OIDC

Vedlikehaldsrelease med mindre feilrettingar og forbetringar.

Releasen vart produksjonssatt Sep 29, 2020

Forbetringar:

PAR skal virker for klienter med “none” autentiseringsmetode (PBLEID-19995)

PAR-funksjonaliteten virka berre for klienter med client_secret_* - klientautentiseringsmetode, som medførte at public klienter som t.d. sluttbrukersystemer ikkje kunne bruke PAR. Vert fiksa slik at PAR fungerer for alle klient-typar.

Fjerne “unspecified” som ‘aud’ i access_tokens dersom det ikkje er forespurt nokon verdi (PBLEID-19222)

Idag utleverer vi “unspecified” som ‘aud’ i access_token dersom ikkje klienten aktiv forespør ein spesifikk verdi.

Dette skaper problemer for ressurs-servere / API-gateways som må konfigurerast til å operere som “unspecified”. I tillegg gjev ikkje aud=unspecified nokon verdi, då det ikkje kan brukast til reell audience-begrensning slik RFC8707 legg opp til.

ID-porten og Maskinporten vert endra til å heretter kun inkludere ‘aud’ dersom det aktivt er forespurt av klient (dvs. angitt ein ‘resource’ i grant/authorize-request.)

 

Konfigurert klientautentiseringsmetode må brukast på alle OIDC endepunkter (PBLEID-17855)

Per idag blir en klient sin konfigurerte klientautentiseringsmetode kun validert på /token-endepunktet.
Dette forbedres til å inkludere validering også på token introspection, token exchange og revocation.

Feilrettingar:

POSTing av jwks erstatter ikkje nøkler som ligg der frå før (PBLEID-20887)

Ved POST’ing av ein jwks med nye nøkler, så vart ikkje gamle nøkler fjerna.

ikkje mogeleg å bruke URIer som resource i grants (PBLEID-20587)

https://tools.ietf.org/html/draft-ietf-oauth-resource-indicators-08#section-2 seier at “resource” kan vere ein URI, men Maskinporten / OIDC støtter berre URL. Rette dette slik at URI også vert lovleg.