Mit Nets eID Broker über OpenID Connect verbinden

FoxIDs kann mit Nets eID Broker über OpenID Connect verbunden werden und damit Endbenutzer mit MitID und anderen von Nets eID Broker unterstützten Anmeldedaten authentifizieren.

So konfigurieren Sie Nets eID Broker in

Es ist möglich, die CPR Nummer nur einmal anzufordern beim ersten Login und nicht bei späteren Logins.

Sie können den Nets eID Broker test Login mit dem online web app sample (sample docs) testen, indem Sie Log in und anschließend Nets eID Broker TEST anklicken. Sehen Sie sich die Nets eID Broker sample Konfiguration in FoxIDs Control an: https://control.foxids.com/test-corp Erhalten Sie read Zugriff mit dem Benutzer reader@foxids.com und dem Passwort gEh#V6kSw und wählen Sie anschließend die Production Umgebung und die Registerkarte Authentication.

Nets eID Broker test als OpenID Provider (OP) konfigurieren

Dieser Leitfaden beschreibt, wie Sie eine FoxIDs Authentifizierungsmethode mit dem Nets eID Broker test in der Testumgebung verbinden. Alle redirect URIs werden akzeptiert und daher können alle clients ohne vorherige Registrierung verbinden.

Diese Verbindung verwendet OpenID Connect Authorization Code flow mit PKCE, was der empfohlene OpenID Connect flow ist.

Erstellen Sie eine OpenID Connect Authentifizierungsmethode in FoxIDs Control Client

  1. Fügen Sie Name hinzu
  2. Fügen Sie die Nets eID Broker test authority https://pp.netseidbroker.dk/op im Feld Authority hinzu
  3. Fügen Sie in der Scopes Liste mitid hinzu, um MitID zu verwenden und optional ssn scope, um die CPR Nummer anzufordern (siehe CPR Nummer nur einmal anfordern)
  4. Wählen Sie Show advanced
  5. Optional fügen Sie einen Additionally parameter mit dem Namen idp_values und z.B. dem Wert mitid hinzu, um den MitID IdP zu zeigen, oder z.B. dem Wert mitid_erhverv, um den MitID Erhverv IdP zu zeigen.
  6. Fügen Sie den Nets eID Broker test secret rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== im Feld Client secret hinzu
  7. Fügen Sie die Nets eID Broker test client id 0a775a87-878c-4b83-abe3-ee29c720c3e7 im Feld Optional customer SP client ID hinzu
  8. Wählen Sie Read claims from the UserInfo Endpoint instead of the access token or ID token
  9. Klicken Sie Create

Das war's.

Die neue Authentifizierungsmethode kann nun als zulässige Authentifizierungsmethode in einer Applikationsregistrierung ausgewählt werden. Die Applikation kann die claims aus der Authentifizierungsmethode lesen. Optional können Sie ein * in der Applikationsregistrierung Issue claims Liste hinzufügen, um alle claims auszugeben. Oder definieren Sie ein scope zur Ausgabe von claims.

Nets eID Broker als OpenID Provider (OP) konfigurieren

Dieser Leitfaden beschreibt, wie Sie eine FoxIDs Authentifizierungsmethode mit dem Nets eID Broker in der Produktionsumgebung verbinden.

Sie erhalten Zugriff auf das Nets eID Broker admin portal durch Nets. Die Nets eID Broker Dokumentation.

Diese Verbindung verwendet OpenID Connect Authorization Code flow mit PKCE, was der empfohlene OpenID Connect flow ist.

1 - Beginnen Sie mit der Erstellung eines API client im Nets eID Broker admin portal

  1. Gehen Sie zu Services & Clients
  2. Wählen Sie den Service Provider
  3. Erstellen oder wählen Sie einen Service
  4. Klicken Sie Add new client
  5. Fügen Sie einen Client name hinzu
  6. Wählen Sie Web
  7. Klicken Sie Create
  8. Kopieren Sie die Client ID
  9. Klicken Sie Create new Client Secret
  10. Wählen Sie Based on password
  11. Fügen Sie einen Namen für das neue client secret hinzu
  12. Klicken Sie Generate on server
  13. Kopieren Sie das Secret
  14. Klicken Sie die IDP Registerkarte
  15. Wählen Sie MitID und klicken Sie Add to pre-selected login options, optional wählen Sie weitere
  16. Klicken Sie die Advanced Registerkarte
  17. Setzen Sie PKCE auf Active

2 - Erstellen Sie dann eine OpenID Connect Authentifizierungsmethode in FoxIDs Control Client

  1. Fügen Sie Name hinzu
  2. Fügen Sie die Nets eID Broker authority https://netseidbroker.dk/op im Feld Authority hinzu
  3. Kopieren Sie die beiden URLs: Redirect URL und Post logout redirect URL
  4. Fügen Sie in der Scopes Liste mitid hinzu, um MitID zu verwenden und optional ssn scope, um die CPR Nummer anzufordern (siehe CPR Nummer nur einmal anfordern)
  5. Wählen Sie Show advanced
  6. Optional fügen Sie einen Additionally parameter mit dem Namen idp_values und z.B. dem Wert mitid hinzu, um den MitID IdP zu zeigen, oder z.B. dem Wert mitid_erhverv, um den MitID Erhverv IdP zu zeigen.
  7. Fügen Sie den Nets eID Broker secret im Feld Client secret hinzu
  8. Fügen Sie die Nets eID Broker client id im Feld Optional customer SP client ID hinzu
  9. Wählen Sie Read claims from the UserInfo Endpoint instead of the access token or ID token
  10. Klicken Sie Create

3 - Gehen Sie zurück zum Nets eID Broker admin portal

  1. Klicken Sie die Endpoints Registerkarte
  2. Fügen Sie die beiden URLs aus dem FoxIDs Authentifizierungsmethoden client: Redirect URL und Post logout redirect URL in die Felder Login redirects und Logout redirects ein.

Das war's.

Die neue Authentifizierungsmethode kann nun als zulässige Authentifizierungsmethode in einer Applikationsregistrierung ausgewählt werden. Die Applikation kann die claims aus der Authentifizierungsmethode lesen. Optional können Sie ein * in der Applikationsregistrierung Issue claims Liste hinzufügen, um alle claims auszugeben. Oder definieren Sie ein scope zur Ausgabe von claims.

CPR Nummer nur einmal anfordern

Es ist möglich, dass FoxIDs die CPR Nummer des Benutzers in externen Benutzern speichert. Dann werden die Benutzer nur beim ersten Login nach CPR gefragt.

Um dies zu erreichen, konfigurieren wir die Nets eID Broker Authentifizierungsmethode so, dass sie ohne CPR Anfrage einloggt und erstellen ein Profil, das CPR anfordert. Beim ersten Login initiiert FoxIDs anschließend eine Authentifizierung mit dem Profil, um die CPR Nummer zu erhalten, und speichert die Relation von sub zur CPR Nummer als claim auf einem externen Benutzer.

In der Nets eID Broker Authentifizierungsmethode.

A) Erstellen Sie zuerst ein Profil

  1. Nehmen Sie nur mitid scope in der Scopes Liste auf
  2. Wählen Sie Show advanced
  3. Wählen Sie die Registerkarte Profiles
  4. Klicken Sie Add Profile
  5. Fügen Sie Name z.B. Request CPR hinzu
  6. Fügen Sie ssn in der Scopes Liste hinzu
  7. Klicken Sie Update - Wichtig bevor Sie fortfahren!

Authentifizierungsmethode Profil

b) Beginnen Sie dann externe Benutzer zu erstellen

  1. Wählen Sie die Registerkarte Create External Users
  2. Fügen Sie sub in das Feld Link claim type hinzu
  3. Wählen Sie Yes bei Optional create/provision external users automatically
  4. Wählen Sie Yes bei Overwrite received claims

Authentifizierungsmethode externer Benutzer

c) Claims transforms einrichten

  1. Im Abschnitt Create user claim transforms auf der Registerkarte Create External Users
  2. Fügen Sie die claims mitid.has_cpr und dk.cpr in Include claims from authentication method hinzu
  3. Klicken Sie Add claim transform und klicken Sie Match claim
    1. In der claim transformation
    2. Fügen Sie _local:cpr_exist im Feld New claim hinzu
    3. Wählen Sie Add claim, if not match in Action
    4. Fügen Sie dk.cpr im Feld Select claim hinzu
    5. Fügen Sie false im Feld New value hinzu
  4. Klicken Sie Add claim transform und klicken Sie Concatenate
    1. In der claim transformation
    2. Fügen Sie _local:request_cpr im Feld New claim hinzu
    3. Wählen Sie Add claim in Action
    4. Fügen Sie mitid.has_cpr und _local:cpr_exist in die Liste Concatenate claims hinzu
    5. Fügen Sie [{0},{1}] im Feld Concatenate format string hinzu
  5. Klicken Sie Add claim task und klicken Sie Match claim and value and start authentication
    1. In der claim transformation
    2. Wählen Sie If match in Action
    3. Fügen Sie _local:request_cpr im Feld Select claim hinzu
    4. Fügen Sie [true,false] im Feld Match value hinzu
    5. Wählen Sie das Request CPR Profil dieser Authentifizierungsmethode bei Authentication method
  6. Klicken Sie Add claim transform und klicken Sie Match claim
    1. In der claim transformation
    2. Wählen Sie Remove claim in Action
    3. Fügen Sie mitid.has_cpr im Feld Remove claim hinzu
  7. Klicken Sie Update

Authentifizierungsmethode claim transform

Scope und claims

Optional können Sie in der Applikationsregistrierung einen scope mit Nets eID Broker claims als Voluntary claims erstellen. Der scope kann dann von einem OpenID Connect client oder einer anderen FoxIDs Authentifizierungsmethode verwendet werden, die als OpenID Connect client fungiert.

Der Name des scope kann z.B. nets_eid_broker sein

Die am häufigsten verwendeten Nets eID Broker claims:

  • idp
  • idp_identity_id
  • loa
  • mitid.uuid
  • mitid.has_cpr
  • dk.cpr
  • mitid.age
  • mitid.date_of_birth
  • mitid.identity_name
  • mitid.transaction_id

Ihre Privatsphäre

Wir verwenden Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern. Klicken Sie auf 'Alle Cookies akzeptieren', um der Verwendung von Cookies zuzustimmen. Um nicht notwendige Cookies abzulehnen, klicken Sie auf 'Nur notwendige Cookies'.

Weitere Informationen finden Sie in unserer Datenschutzerklärung