Koble opp cognito poolet til dataplattform mot AzureAD

[hakoncarlsen]

Er funksjonaliteten relatert til et problem? Vennligst utdyp. Her og nå bruker dataplattform google-innlogging. Dette ønsker vi å gå bort i fra, til fordel for AzureAD.

Beskriv løsningen du ønsker Vi bruker kompetansekartlegging sitt user-pool som federated authentication provider med protokollen OIDC, da dette user-poolet bruker allerede Azure AD. Dette er noe vi tester ut og får til å funke i første omgang. Det er flere muligheter her for hvordan vi kan gjøre det i stedet senere.

Beskriv eventuelle alternativer du har vurdert

• Vi bruker AzureAD direkte med saml. Dette krever imidlertidig en samtale med Sverige.
• Vi bruker et sentralt cognito pool med url auth.knowit.no som er koblet opp mot AzureAD med saml. Både dataplattform og kompetansekartlegging refraktoreres til å bruke dette cognito-poolet som authentication provider. Dette tror jeg er en god løsning. Uansett så vil dette bli ende opp med å bli relativt likt ut som en midlertidig løsning med å koble opp dataplattform mot kompetansekartlegging, så jobben med å sette opp dette er ikke bortkastet.

Ekstra beskrivelse Det er noen ting som gjør dette litt mer vanskelig å fikse:

• Til nå er mye av innstillingene for cognito i dataplattform gjort manuelt i aws-consolen. Dette burde settes opp som infrastructure as code i stedet. Det er alltid ting å ta hensyn til når man skal gå fra manuelle innstillinger til infrastructure as code.
• Man er også nødt til å ta hensyn til at userpoolet i dataplattform allerede har eksisterende brukere. Vi ønsker ikke at disse forsvinner / mister tilganger.