ID-porten: Strengere validering av aud claimet

Scheduled Maintenance Report for Digitaliseringsdirektoratet

Verifying

Strengere validering er gjennomført i produksjon ved at det ikke er tillat å sende en liste av ulike aud. Gjennom analyse har vi ikke funnet noen tenester dette har påvirket.

Vi ser at mange sender inn aud: "https://idporten.no, https://idporten.no" og disse vil etterhvert feile siden det er to verdier. "https://idporten.no/token" vil også bli en ugyldig verdi. Dette vil senere bli innført i produksjon, men vil bli tydelig varslet på nytt i god tid før innstramming.

Denne strengere valideringa er aktivert i TEST, så anbefaller å verifisere at tenesten/klienten fungerer der.
Posted Mar 14, 2025 - 10:30 CET

In progress

Scheduled maintenance is currently in progress. We will provide updates as necessary.
Posted Mar 12, 2025 - 12:00 CET

Scheduled

Vi kommer til å validere aud claimet strengere ved bruk at private_key_jwt klientautentisering slik det er anbefalt av openid foundation.
https://openid.net/wp-content/uploads/2025/01/OIDF-Responsible-Disclosure-Notice-on-Security-Vulnerability-for-private_key_jwt.pdf

aud claimet må ha én, og bare en, enkelt verdi og settes til utsteder-URL-en (issuer) for OpenID-leverandøren / OAuth 2.0-autorisasjonsserveren.
f.eks https://idporten.no

The aud claim must be single-valued and set to the issuer URL of the OpenID provider / OAuth 2.0 authorisation server.

Dette påvirker ikke klienter som bruker client_secret_basic eller client_secret_post som klientautentisering.

Vi ser at mange sender inn aud: "https://idporten.no, https://idporten.no" og disse vil etterhvert feile siden det er to verdier. "https://idporten.no/token" vil også bli en ugyldig verdi.

Endringen ble gjennomført i TEST-miljøet 7 mars.
Posted Mar 11, 2025 - 12:25 CET
This scheduled maintenance affects: ID-porten (ID-porten).
Current Status Powered by Atlassian Statuspage

Statusside for våre testmiljø

testmiljo.status.digdir.no