Conectar a Nets eID Broker con OpenID Connect

FoxIDs puede conectarse a Nets eID Broker con OpenID Connect y así autenticar usuarios finales con MitID y otras credenciales compatibles con Nets eID Broker.

Cómo configurar Nets eID Broker en

• entorno de prueba usando Nets eID Broker test
• entorno de producción usando el portal de administración de Nets eID Broker

Es posible solicitar el número CPR solo una vez en el primer inicio de sesión y no en los siguientes.

Puede probar el login de Nets eID Broker test con la aplicación web de ejemplo en línea (docs del ejemplo) haciendo clic en Log in y luego Nets eID Broker TEST.
Consulte la configuración de ejemplo de Nets eID Broker en FoxIDs Control: https://control.foxids.com/test-corp
Obtenga acceso de lectura con el usuario reader@foxids.com y la contraseña gEh#V6kSw, luego seleccione el entorno Production y la pestaña Authentication.

Configurar Nets eID Broker test como OpenID Provider (OP)

Esta guía describe cómo conectar un método de autenticación FoxIDs a Nets eID Broker test en el entorno de prueba.
Se aceptan todos los URI de redirección y por lo tanto todos los clientes pueden conectarse sin registro previo.

Esta conexión utiliza el flujo OpenID Connect Authorization Code con PKCE, que es el flujo OpenID Connect recomendado.

Crear un método de autenticación OpenID Connect en FoxIDs Control Client

1. Agregue el Name
2. Agregue la authority de prueba de Nets eID Broker https://pp.netseidbroker.dk/op en el campo Authority
3. En la lista Scopes agregue mitid para usar MitID y opcionalmente el scope ssn para solicitar el número CPR (considere solicitar el número CPR solo una vez)
4. Seleccione Show advanced
5. Opcionalmente agregue un Additionally parameter con el nombre idp_values y p. ej. el valor mitid para mostrar el IdP MitID o p. ej. el valor mitid_erhverv para mostrar el IdP MitID Erhverv.
6. Agregue el secreto de prueba de Nets eID Broker rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== en el campo Client secret
7. Agregue el client id de prueba de Nets eID Broker 0a775a87-878c-4b83-abe3-ee29c720c3e7 en el campo Optional customer SP client ID
8. Seleccione Read claims from the UserInfo Endpoint instead of the access token or ID token
9. Haga clic en Create

Eso es todo, ya terminó.

El nuevo método de autenticación ahora se puede seleccionar como método de autenticación permitido en un registro de aplicación.
La aplicación puede leer las claims del método de autenticación. Puede agregar opcionalmente un * en la lista Issue claims del registro de aplicación para emitir todas las claims a su aplicación. O definir un scope para emitir claims.

Configurar Nets eID Broker como OpenID Provider (OP)

Esta guía describe cómo conectar un método de autenticación FoxIDs a Nets eID Broker en el entorno de producción.

Nets le concede acceso al portal de administración de Nets eID Broker. La documentación de Nets eID Broker.

Esta conexión utiliza el flujo OpenID Connect Authorization Code con PKCE, que es el flujo OpenID Connect recomendado.

1 - Comience creando un cliente API en el portal de administración de Nets eID Broker

1. Navegue a Services & Clients
2. Seleccione el Service Provider
3. Cree o seleccione un Service
4. Haga clic en Add new client
5. Agregue un nombre de cliente
6. Seleccione Web
7. Haga clic en Create
8. Copie el Client ID
9. Haga clic en Create new Client Secret
10. Seleccione Based on password
11. Agregue un nombre para el nuevo client secret
12. Haga clic en Generate on server
13. Copie el Secret
14. Haga clic en la pestaña IDP
15. Seleccione MitID y haga clic en Add to pre-selected login options, opcionalmente seleccione otros
16. Haga clic en la pestaña Advanced
17. Establezca PKCE en Active

2 - Luego cree un método de autenticación OpenID Connect en FoxIDs Control Client

1. Agregue el Name
2. Agregue la authority de Nets eID Broker https://netseidbroker.dk/op en el campo Authority
3. Copie las dos URL: Redirect URL y Post logout redirect URL
4. En la lista Scopes agregue mitid para usar MitID y opcionalmente el scope ssn para solicitar el número CPR (considere solicitar el número CPR solo una vez)
5. Seleccione Show advanced
6. Opcionalmente agregue un Additionally parameter con el nombre idp_values y p. ej. el valor mitid para mostrar el IdP MitID o p. ej. el valor mitid_erhverv para mostrar el IdP MitID Erhverv.
7. Agregue el secreto de Nets eID Broker en el campo Client secret
8. Agregue el client id de Nets eID Broker en el campo Optional customer SP client ID
9. Seleccione Read claims from the UserInfo Endpoint instead of the access token or ID token
10. Haga clic en Create

3 - Regrese al portal de administración de Nets eID Broker

1. Haga clic en la pestaña Endpoints
2. Agregue las dos URL del cliente del método de autenticación FoxIDs: Redirect URL y Post logout redirect URL en los campos Login redirects y Logout redirects.

Eso es todo, ya terminó.

El nuevo método de autenticación ahora se puede seleccionar como método de autenticación permitido en un registro de aplicación.
La aplicación puede leer las claims del método de autenticación. Puede agregar opcionalmente un * en la lista Issue claims del registro de aplicación para emitir todas las claims a su aplicación. O definir un scope para emitir claims.

Solicitar el número CPR solo una vez

Es posible permitir que FoxIDs guarde el número CPR del usuario en usuarios externos. Entonces a los usuarios solo se les solicita su CPR la primera vez que inician sesión.

Para que esto ocurra configuraremos el método de autenticación Nets eID Broker para iniciar sesión sin solicitar un número CPR y crear un perfil que sí solicite el número CPR. En el primer inicio de sesión FoxIDs iniciará posteriormente la autenticación con el perfil para obtener el número CPR y guardar la relación sub del usuario con el número CPR en una claim en un usuario externo.

En el método de autenticación Nets eID Broker.

A) Primero cree un perfil

1. Incluya solo el scope mitid en la lista Scopes
2. Seleccione Show advanced
3. Seleccione la pestaña Profiles
4. Haga clic en Add Profile
5. Agregue un Name p. ej., Request CPR
6. Agregue ssn en la lista Scopes
7. Haga clic en Update - Imported before you continue!

b) Luego comience a crear usuarios externos

1. Seleccione la pestaña Create External Users
2. Agregue sub en el campo Link claim type
3. Seleccione Yes en Optional create/provision external users automatically
4. Seleccione Yes en Overwrite received claims

c) Configurar transformaciones de claims

1. En la sección Create user claim transforms en la pestaña Create External Users
2. Agregue las claims mitid.has_cpr y dk.cpr en Include claims from authentication method
3. Haga clic en Add claim transform y haga clic en Match claim
   1. En la transformación de claim
   2. Agregue _local:cpr_exist en el campo New claim
   3. Seleccione Add claim, if not match en Action
   4. Agregue dk.cpr en el campo Select claim
   5. Agregue false en el campo New value
4. Haga clic en Add claim transform y haga clic en Concatenate
   1. En la transformación de claim
   2. Agregue _local:request_cpr en el campo New claim
   3. Seleccione Add claim en Action
   4. Agregue mitid.has_cpr y _local:cpr_exist en la lista Concatenate claims
   5. Agregue [{0},{1}] en el campo Concatenate format string
5. Haga clic en Add claim task y haga clic en Match claim and value and start authentication
   1. En la transformación de claim
   2. Seleccione If match en Action
   3. Agregue _local:request_cpr en el campo Select claim
   4. Agregue [true,false] en el campo Match value
   5. Seleccione el perfil Request CPR de este método de autenticación en Authentication method
6. Haga clic en Add claim transform y haga clic en Match claim
   1. En la transformación de claim
   2. Seleccione Remove claim en Action
   3. Agregue mitid.has_cpr en el campo Remove claim
7. Haga clic en Update

Scope and claims

Puede crear opcionalmente un scope en el registro de aplicación con las claims de Nets eID Broker como Voluntary claims. El scope puede usarse luego por un cliente OpenID Connect u otro método de autenticación FoxIDs actuando como cliente OpenID Connect.

El nombre del scope puede ser, por ejemplo, nets_eid_broker

Las claims más utilizadas de Nets eID Broker:

• idp
• idp_identity_id
• loa
• mitid.uuid
• mitid.has_cpr
• dk.cpr
• mitid.age
• mitid.date_of_birth
• mitid.identity_name
• mitid.transaction_id