Tilslut Nets eID Broker med OpenID Connect

FoxIDs kan tilsluttes Nets eID Broker med OpenID Connect og dermed autentificere slutbrugere med MitID og andre legitimationsmidler understøttet af Nets eID Broker.

Sådan konfigurerer du Nets eID Broker i

Det er muligt kun at anmode om CPR nummer én gang ved første login og ikke ved efterfølgende logins.

Du kan teste Nets eID Broker test login med online web app sample (sample docs) ved at klikke Log in og derefter Nets eID Broker TEST. Se Nets eID Broker sample konfigurationen i FoxIDs Control: https://control.foxids.com/test-corp Få read adgang med brugeren reader@foxids.com og password gEh#V6kSw og vælg derefter Production miljøet og fanen Authentication.

Konfigurer Nets eID Broker test som OpenID Provider (OP)

Denne guide beskriver, hvordan du forbinder en FoxIDs autentificeringsmetode til Nets eID Broker test i testmiljøet. Alle redirect URIs accepteres og derfor kan alle klienter forbinde uden forudgående registrering.

Denne forbindelse bruger OpenID Connect Authorization Code flow med PKCE, som er det anbefalede OpenID Connect flow.

Opret en OpenID Connect autentificeringsmetode i FoxIDs Control Client

  1. Tilføj Name
  2. Tilføj Nets eID Broker test authority https://pp.netseidbroker.dk/op i feltet Authority
  3. I Scopes listen tilføj mitid for at bruge MitID og evt. ssn scope for at anmode om CPR nummer (overvej anmod kun om CPR nummer én gang)
  4. Vælg Show advanced
  5. Tilføj eventuelt en Additionally parameter med navnet idp_values og f.eks. værdien mitid for at vise MitID IdP eller f.eks. værdien mitid_erhverv for at vise MitID Erhverv IdP.
  6. Tilføj Nets eID Broker test secret rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== i feltet Client secret
  7. Tilføj Nets eID Broker test client id 0a775a87-878c-4b83-abe3-ee29c720c3e7 i feltet Optional customer SP client ID
  8. Vælg Read claims from the UserInfo Endpoint instead of the access token or ID token
  9. Klik Create

Det var det.

Den nye autentificeringsmetode kan nu vælges som en tilladt autentificeringsmetode i en applikationsregistrering. Applikationen kan læse claims fra autentificeringsmetoden. Du kan eventuelt tilføje en * i applikationsregistreringen Issue claims listen for at udstede alle claims til din applikation. Eller definere et scope til at udstede claims.

Konfigurer Nets eID Broker som OpenID Provider (OP)

Denne guide beskriver, hvordan du forbinder en FoxIDs autentificeringsmetode til Nets eID Broker i produktionsmiljøet.

Du får adgang til Nets eID Broker admin portal af Nets. Nets eID Broker dokumentationen.

Denne forbindelse bruger OpenID Connect Authorization Code flow med PKCE, som er det anbefalede OpenID Connect flow.

1 - Start med at oprette en API client i Nets eID Broker admin portal

  1. Gå til Services & Clients
  2. Vælg Service Provider
  3. Opret eller vælg en Service
  4. Klik Add new client
  5. Tilføj et Client name
  6. Vælg Web
  7. Klik Create
  8. Kopiér Client ID
  9. Klik Create new Client Secret
  10. Vælg Based on password
  11. Tilføj et navn til den nye client secret
  12. Klik Generate on server
  13. Kopiér Secret
  14. Klik IDP fanen
  15. Vælg MitID og klik Add to pre-selected login options, evt. vælg andre
  16. Klik Advanced fanen
  17. Sæt PKCE til Active

2 - Opret derefter en OpenID Connect autentificeringsmetode i FoxIDs Control Client

  1. Tilføj Name
  2. Tilføj Nets eID Broker authority https://netseidbroker.dk/op i feltet Authority
  3. Kopiér de to URL'er: Redirect URL og Post logout redirect URL
  4. I Scopes listen tilføj mitid for at bruge MitID og evt. ssn scope for at anmode om CPR nummer (overvej anmod kun om CPR nummer én gang)
  5. Vælg Show advanced
  6. Tilføj eventuelt en Additionally parameter med navnet idp_values og f.eks. værdien mitid for at vise MitID IdP eller f.eks. værdien mitid_erhverv for at vise MitID Erhverv IdP.
  7. Tilføj Nets eID Broker secret i Client secret feltet
  8. Tilføj Nets eID Broker client id i Optional customer SP client ID feltet
  9. Vælg Read claims from the UserInfo Endpoint instead of the access token or ID token
  10. Klik Create

3 - Gå tilbage til Nets eID Broker admin portal

  1. Klik Endpoints fanen
  2. Tilføj de to URL'er fra FoxIDs autentificeringsmetode klienten: Redirect URL og Post logout redirect URL i felterne Login redirects og Logout redirects.

Det var det.

Den nye autentificeringsmetode kan nu vælges som en tilladt autentificeringsmetode i en applikationsregistrering. Applikationen kan læse claims fra autentificeringsmetoden. Du kan eventuelt tilføje en * i applikationsregistreringen Issue claims listen for at udstede alle claims til din applikation. Eller definere et scope til at udstede claims.

Anmod kun om CPR nummer en gang

Det er muligt at lade FoxIDs gemme brugerens CPR nummer på eksterne brugere. Så bliver brugerne kun bedt om CPR første gang de logger ind.

For at få dette til at ske konfigurerer vi Nets eID Broker autentificeringsmetoden til at logge ind uden at anmode om CPR nummer og opretter en profil som anmoder om CPR nummer. Ved første login initierer FoxIDs efterfølgende autentificering med profilen for at få CPR nummeret og gemmer brugerens sub til CPR nummer relation i en claim på en ekstern bruger.

I Nets eID Broker autentificeringsmetoden.

A) Opret først en profil

  1. Inkludér kun mitid scope i Scopes listen
  2. Vælg Show advanced
  3. Vælg fanen Profiles
  4. Klik Add Profile
  5. Tilføj Name f.eks. Request CPR
  6. Tilføj ssn i Scopes listen
  7. Klik Update - Vigtigt før du fortsætter!

Autentificeringsmetode profil

b) Begynd derefter at oprette eksterne brugere

  1. Vælg fanen Create External Users
  2. Tilføj sub i feltet Link claim type
  3. Vælg Yes i Optional create/provision external users automatically
  4. Vælg Yes i Overwrite received claims

Autentificeringsmetode ekstern bruger

c) Opsæt claim transforms

  1. I sektionen Create user claim transforms på fanen Create External Users
  2. Tilføj claims mitid.has_cpr og dk.cpr i Include claims from authentication method
  3. Klik Add claim transform og klik Match claim
    1. I claim transformation
    2. Tilføj _local:cpr_exist i New claim feltet
    3. Vælg Add claim, if not match i Action
    4. Tilføj dk.cpr i Select claim feltet
    5. Tilføj false i New value feltet
  4. Klik Add claim transform og klik Concatenate
    1. I claim transformation
    2. Tilføj _local:request_cpr i New claim feltet
    3. Vælg Add claim i Action
    4. Tilføj mitid.has_cpr og _local:cpr_exist i Concatenate claims listen
    5. Tilføj [{0},{1}] i Concatenate format string feltet
  5. Klik Add claim task og klik Match claim and value and start authentication
    1. I claim transformation
    2. Vælg If match i Action
    3. Tilføj _local:request_cpr i Select claim feltet
    4. Tilføj [true,false] i Match value feltet
    5. Vælg denne autentificeringsmetodes Request CPR profil i Authentication method
  6. Klik Add claim transform og klik Match claim
    1. I claim transformation
    2. Vælg Remove claim i Action
    3. Tilføj mitid.has_cpr i Remove claim feltet
  7. Klik Update

Autentificeringsmetode claim transform

Scope og claims

Du kan eventuelt oprette et scope i applikationsregistreringen med Nets eID Broker claims som Voluntary claims. Scope kan derefter bruges af en OpenID Connect client eller en anden FoxIDs autentificeringsmetode der fungerer som en OpenID Connect client.

Navnet på scopet kan f.eks. være nets_eid_broker

De mest anvendte Nets eID Broker claims:

  • idp
  • idp_identity_id
  • loa
  • mitid.uuid
  • mitid.has_cpr
  • dk.cpr
  • mitid.age
  • mitid.date_of_birth
  • mitid.identity_name
  • mitid.transaction_id

Dit privatliv

Vi bruger cookies til at gøre din oplevelse på vores websites bedre. Klik på 'Acceptér alle cookies' for at acceptere brugen af cookies. For at fravælge ikke-nødvendige cookies, klik på 'Kun nødvendige cookies'.

Besøg vores privatlivspolitik for mere