Tilslut IdentityServer med OpenID Connect
FoxIDs kan tilsluttes en IdentityServer med OpenID Connect og dermed autentificere slutbrugere i en IdentityServer.
Det er muligt at tilslutte en IdentityServer klient og læse claims fra ID token eller vælge en mere kompleks case hvor claims læses fra access token.
Sample
IdentityServerOidcOpSampleer konfigureret i FoxIDstest-corpmed autentificeringsmetode navnetidentityserver_oidc_op_sample. Du kan teste login (brugernavnaliceog adgangskodealice) ved hjælp afIdentityServerOidcOpSampleogAspNetCoreOidcAuthorizationCodeSamplesamples. Ved at klikkeOIDC IdentityServer Log iniAspNetCoreOidcAuthorizationCodeSampleapplikationen.IdentityServerOidcOpSamplesample er konfigureret med Implicit Flow for at muliggøre lokal test, brug Authorization Code Flow i produktion.
Se IdentityServer sample konfigurationen i FoxIDs Control: https://control.foxids.com/test-corp Få read adgang med brugeren
reader@foxids.comog passwordgEh#V6kSwog vælg derefterProductionmiljøet og fanenAuthentication.
Konfigurer IdentityServer
Dette afsnit beskriver, hvordan du konfigurerer en forbindelse med OpenID Connect Authorization Code flow og PKCE, som er det anbefalede OpenID Connect flow.
1 - Start med at oprette en OpenID Connect autentificeringsmetode i FoxIDs Control Client
- Tilføj navnet
Det er nu muligt at læse Redirect URL og Post logout redirect URL.
2 - Gå derefter til IdentityServer konfigurationen og opret klienten
yield return new Client
{
ClientId = "some_identityserver_app",
AllowedGrantTypes = GrantTypes.Code,
RequirePkce = true,
ClientSecrets =
{
new Secret("BpCbINKwxELM ... eVpMClM84Rr0".Sha256())
},
AlwaysIncludeUserClaimsInIdToken = true,
RedirectUris = { "https://foxids.com/test-corp/-/(some_identityserver_app)/oauth/authorizationresponse" },
PostLogoutRedirectUris = { "https://foxids.com/test-corp/-/(some_identityserver_app)/oauth/endsessionresponse" },
AllowedScopes = new List<string>
{
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
IdentityServerConstants.StandardScopes.Email,
}
};
Kode fra IdentityServerOidcOpSample sample konfiguration.
3 - Gå tilbage til FoxIDs autentificeringsmetoden i FoxIDs Control Client
- Tilføj IdentityServer authority
- Tilføj profile og email scopes (muligvis andre eller flere scopes)
- Tilføj IdentityServer klientens client secret værdi som client secret
- Vælg show advanced
- Vælg use claims from ID token
- Tilføj de claims der overføres fra autentificeringsmetoden til applikationsregistreringerne. F.eks. email, email_verified, name, given_name, family_name, role og evt. access_token claim for at overføre IdentityServer access token
- Klik create
Det var det.
Den nye autentificeringsmetode kan nu vælges som en tilladt autentificeringsmetode i en applikationsregistrering. Applikationsregistreringen kan læse claims fra autentificeringsmetoden. Det er muligt at tilføje access_token claim for at inkludere IdentityServer access token som en claim i det udstedte access token.
Læs claims fra access token
Hvis du vil læse claims fra access token skal du tilføje en API resource og API scope. Og lade klienten bruge det nye scope.
1 - I IdentityServer konfigurationen
public IEnumerable<ApiResource> GetApiResources()
{
yield return new ApiResource("some.api", "Some API")
{
UserClaims = new[] { "email", "email_verified", "family_name", "given_name", "name", "role" },
Scopes = new List<string>
{
"some.api.access"
}
};
}
public IEnumerable<ApiScope> GetApiScopes()
{
yield return new ApiScope("some.api.access", "Some API scope");
}
Du kan fjerne AlwaysIncludeUserClaimsInIdToken = true fra klienten.
KODE fra IdentityServerOidcOpSample sample konfiguration.
2 - Gå derefter til FoxIDs Control Client
- Tilføj API scope
some.api.accesssom et scope i FoxIDs autentificeringsmetode klienten - Læs claims fra access token ved ikke at vælge use claims from ID token