Interconectar FoxIDs con OpenID Connect

Los entornos FoxIDs pueden conectarse con OpenID Connect y, de ese modo, autenticar usuarios finales en otro entorno FoxIDs o en un Identity Provider (IdP) externo configurado como método de autenticación.
Los entornos FoxIDs pueden interconectarse en el mismo tenant FoxIDs o en distintos tenants FoxIDs. Las interconexiones también pueden configurarse entre entornos FoxIDs en distintos despliegues FoxIDs.

Puedes conectar fácilmente dos entornos en el mismo tenant con un Environment Link.

La integración entre dos entornos FoxIDs admite autenticación OpenID Connect (login), RP-initiated logout y front-channel logout. Se establece una sesión cuando el usuario se autentica y la sesión se invalida al cerrar sesión.

Puedes probar las conexiones de entornos OpenID Connect con la web app de ejemplo en línea (documentación de ejemplo) haciendo clic en Log in y luego en Parallel FoxIDs environment.
Consulta la configuración de conexión de entornos en FoxIDs Control: https://control.foxids.com/test-corp
Obtén acceso de solo lectura con el usuario reader@foxids.com y la contraseña gEh#V6kSw, y luego revisa los entornos parallel y Production.

Lo siguiente describe cómo configurar un método de autenticación OpenID Connect en tu entorno FoxIDs y confiar en un entorno FoxIDs paralelo donde hay un registro de aplicación OpenID Connect configurado. Esto hará que tu entorno FoxIDs confíe en el entorno FoxIDs paralelo para autenticar usuarios.

Configurar la integración

1 - Comienza en tu entorno FoxIDs creando un método de autenticación OpenID Connect en FoxIDs Control Client

1. Añade el nombre

Ahora es posible leer la Redirect URL, Post logout redirect URL y Front channel logout URL.

2 - Luego ve al entorno FoxIDs paralelo y crea el cliente de registro de aplicación

El cliente es un cliente confidencial que usa Authorization Code Flow y PKCE.

1. Especifica el nombre del cliente en el nombre del registro de la aplicación.
2. Selecciona los métodos de autenticación permitidos. Por ejemplo login u otro método de autenticación.
3. Selecciona show advanced.
4. Especifica la URI de redirección leída en tu método de autenticación.
5. Especifica la URI de redirección post logout leída en tu método de autenticación.
6. Especifica la URI de front channel logout leída en tu método de autenticación.
7. Especifica un secreto (recuerda el secreto para el siguiente paso).
8. Elimina offline_access.
9. Elimina/edita los scopes según tus necesidades.
10. Haz clic en create.

3 - Vuelve a tu método de autenticación FoxIDs en FoxIDs Control Client

1. Añade la autoridad del cliente de registro de aplicación del entorno FoxIDs paralelo.

   Por defecto, el entorno paralelo usa el método de autenticación login para autenticar usuarios con la autoridad https://localhost:44330/testcorp/dev2/foxids_oidcpkce(login)/.
   Es posible seleccionar otro método de autenticación en el entorno paralelo. Por ejemplo azure_ad con la autoridad https://localhost:44330/testcorp/dev2/foxids_oidcpkce(azure_ad)/.

2. Añade los scopes de perfil y correo (posibles otros scopes).
3. Añade el client secret del cliente de registro de aplicación del entorno FoxIDs paralelo.
4. Añade las reclamaciones que se transferirán del método de autenticación a los registros de aplicación. Por ejemplo email, email_verified, name, given_name, family_name, role y posiblemente la reclamación access_token para transferir el access token del entorno FoxIDs paralelo.
5. Haz clic en create.

Eso es todo, has terminado.

Tu nuevo método de autenticación puede seleccionarse ahora como método de autenticación permitido en los registros de aplicación de tu entorno.
Los registros de aplicación en tu entorno pueden leer las reclamaciones de tu método de autenticación. Es posible añadir la reclamación access_token para incluir el access token del entorno FoxIDs paralelo como una reclamación en el access token emitido.