Se connecter à Nets eID Broker avec OpenID Connect

FoxIDs peut être connecté à Nets eID Broker avec OpenID Connect et ainsi authentifier les utilisateurs finaux avec MitID et d’autres identifiants pris en charge par Nets eID Broker.

Comment configurer Nets eID Broker en

Il est possible de ne demander le numéro CPR qu’une seule fois lors de la première connexion et pas lors des connexions suivantes.

Vous pouvez tester la connexion Nets eID Broker test avec l’exemple d’application web en ligne (docs de l’exemple) en cliquant sur Log in puis Nets eID Broker TEST. Consultez la configuration d’exemple Nets eID Broker dans FoxIDs Control : https://control.foxids.com/test-corp Obtenez l’accès en lecture avec l’utilisateur reader@foxids.com et le mot de passe gEh#V6kSw, puis sélectionnez l’environnement Production et l’onglet Authentication.

Configurer Nets eID Broker test comme OpenID Provider (OP)

Ce guide décrit comment connecter une méthode d’authentification FoxIDs à Nets eID Broker test dans l’environnement de test. Tous les URI de redirection sont acceptés et par conséquent tous les clients peuvent se connecter sans enregistrement préalable.

Cette connexion utilise le flux OpenID Connect Authorization Code avec PKCE, qui est le flux OpenID Connect recommandé.

Créer une méthode d’authentification OpenID Connect dans FoxIDs Control Client

  1. Ajoutez le Name
  2. Ajoutez l’authority de test Nets eID Broker https://pp.netseidbroker.dk/op dans le champ Authority
  3. Dans la liste Scopes ajoutez mitid pour utiliser MitID et éventuellement le scope ssn pour demander le numéro CPR (considérez ne demander le CPR qu’une seule fois)
  4. Sélectionnez Show advanced
  5. Ajoutez éventuellement un Additionally parameter avec le nom idp_values et par ex. la valeur mitid pour afficher l’IdP MitID ou par ex. la valeur mitid_erhverv pour afficher l’IdP MitID Erhverv.
  6. Ajoutez le secret de test Nets eID Broker rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== dans le champ Client secret
  7. Ajoutez l’ID client de test Nets eID Broker 0a775a87-878c-4b83-abe3-ee29c720c3e7 dans le champ Optional customer SP client ID
  8. Sélectionnez Read claims from the UserInfo Endpoint instead of the access token or ID token
  9. Cliquez sur Create

C’est tout, vous avez terminé.

La nouvelle méthode d’authentification peut maintenant être sélectionnée comme méthode d’authentification autorisée dans un enregistrement d’application. L’application peut lire les revendications de la méthode d’authentification. Vous pouvez éventuellement ajouter un * dans la liste Issue claims de l’enregistrement d’application pour émettre toutes les revendications à votre application. Ou définir un scope pour émettre des revendications.

Configurer Nets eID Broker comme OpenID Provider (OP)

Ce guide décrit comment connecter une méthode d’authentification FoxIDs à Nets eID Broker dans l’environnement de production.

Vous recevez un accès au portail d’administration Nets eID Broker par Nets. La documentation Nets eID Broker.

Cette connexion utilise le flux OpenID Connect Authorization Code avec PKCE, qui est le flux OpenID Connect recommandé.

1 - Commencez par créer un client API dans le portail d’administration Nets eID Broker

  1. Accédez à Services & Clients
  2. Sélectionnez le Service Provider
  3. Créez ou sélectionnez un Service
  4. Cliquez sur Add new client
  5. Ajoutez un nom de client
  6. Sélectionnez Web
  7. Cliquez sur Create
  8. Copiez le Client ID
  9. Cliquez sur Create new Client Secret
  10. Sélectionnez Based on password
  11. Ajoutez un nom pour le nouveau client secret
  12. Cliquez sur Generate on server
  13. Copiez le Secret
  14. Cliquez sur l’onglet IDP
  15. Sélectionnez MitID et cliquez sur Add to pre-selected login options, optionnellement sélectionnez d’autres
  16. Cliquez sur l’onglet Advanced
  17. Définissez PKCE sur Active

2 - Puis créez une méthode d’authentification OpenID Connect dans FoxIDs Control Client

  1. Ajoutez le Name
  2. Ajoutez l’authority Nets eID Broker https://netseidbroker.dk/op dans le champ Authority
  3. Copiez les deux URL : Redirect URL et Post logout redirect URL
  4. Dans la liste Scopes ajoutez mitid pour utiliser MitID et éventuellement le scope ssn pour demander le numéro CPR (considérez ne demander le CPR qu’une seule fois)
  5. Sélectionnez Show advanced
  6. Ajoutez éventuellement un Additionally parameter avec le nom idp_values et par ex. la valeur mitid pour afficher l’IdP MitID ou par ex. la valeur mitid_erhverv pour afficher l’IdP MitID Erhverv.
  7. Ajoutez le secret Nets eID Broker dans le champ Client secret
  8. Ajoutez l’ID client Nets eID Broker dans le champ Optional customer SP client ID
  9. Sélectionnez Read claims from the UserInfo Endpoint instead of the access token or ID token
  10. Cliquez sur Create

3 - Revenez au portail d’administration Nets eID Broker

  1. Cliquez sur l’onglet Endpoints
  2. Ajoutez les deux URL du client de méthode d’authentification FoxIDs : Redirect URL et Post logout redirect URL dans les champs Login redirects et Logout redirects.

C’est tout, vous avez terminé.

La nouvelle méthode d’authentification peut maintenant être sélectionnée comme méthode d’authentification autorisée dans un enregistrement d’application. L’application peut lire les revendications de la méthode d’authentification. Vous pouvez éventuellement ajouter un * dans la liste Issue claims de l’enregistrement d’application pour émettre toutes les revendications à votre application. Ou définir un scope pour émettre des revendications.

Ne demander le numéro CPR qu’une seule fois

Il est possible de laisser FoxIDs enregistrer le numéro CPR de l’utilisateur dans les utilisateurs externes. Les utilisateurs ne sont alors interrogés pour leur CPR que lors de leur première connexion.

Pour cela, nous allons configurer la méthode d’authentification Nets eID Broker pour se connecter sans demander un numéro CPR et créer un profil qui demande le numéro CPR. Lors de la première connexion, FoxIDs initie ensuite une authentification avec le profil pour obtenir le numéro CPR et enregistrer la relation sub de l’utilisateur au numéro CPR dans une revendication d’un utilisateur externe.

Dans la méthode d’authentification Nets eID Broker.

A) D’abord créer un profil

  1. N’incluez que le scope mitid dans la liste Scopes
  2. Sélectionnez Show advanced
  3. Sélectionnez l’onglet Profiles
  4. Cliquez sur Add Profile
  5. Ajoutez un Name par ex., Request CPR
  6. Ajoutez ssn dans la liste Scopes
  7. Cliquez sur Update - Imported before you continue!

Authentication method profile

b) Puis commencez à créer des utilisateurs externes

  1. Sélectionnez l’onglet Create External Users
  2. Ajoutez sub dans le champ Link claim type
  3. Sélectionnez Yes dans Optional create/provision external users automatically
  4. Sélectionnez Yes dans Overwrite received claims

Authentication method external user

c) Configurer les transformations de revendications

  1. Dans la section Create user claim transforms de l’onglet Create External Users
  2. Ajoutez les revendications mitid.has_cpr et dk.cpr dans Include claims from authentication method
  3. Cliquez sur Add claim transform puis Match claim
    1. Dans la transformation de revendication
    2. Ajoutez _local:cpr_exist dans le champ New claim
    3. Sélectionnez Add claim, if not match dans Action
    4. Ajoutez dk.cpr dans le champ Select claim
    5. Ajoutez false dans le champ New value
  4. Cliquez sur Add claim transform puis Concatenate
    1. Dans la transformation de revendication
    2. Ajoutez _local:request_cpr dans le champ New claim
    3. Sélectionnez Add claim dans Action
    4. Ajoutez mitid.has_cpr et _local:cpr_exist dans la liste Concatenate claims
    5. Ajoutez [{0},{1}] dans le champ Concatenate format string
  5. Cliquez sur Add claim task puis Match claim and value and start authentication
    1. Dans la transformation de revendication
    2. Sélectionnez If match dans Action
    3. Ajoutez _local:request_cpr dans le champ Select claim
    4. Ajoutez [true,false] dans le champ Match value
    5. Sélectionnez le profil Request CPR de cette méthode d’authentification dans Authentication method
  6. Cliquez sur Add claim transform puis Match claim
    1. Dans la transformation de revendication
    2. Sélectionnez Remove claim dans Action
    3. Ajoutez mitid.has_cpr dans le champ Remove claim
  7. Cliquez sur Update

Authentication method claim transform

Scope and claims

Vous pouvez éventuellement créer un scope sur l’enregistrement d’application avec les revendications Nets eID Broker comme Voluntary claims. Le scope peut ensuite être utilisé par un client OpenID Connect ou par une autre méthode d’authentification FoxIDs agissant comme client OpenID Connect.

Le nom du scope peut par ex. être nets_eid_broker

Les revendications Nets eID Broker les plus utilisées :

  • idp
  • idp_identity_id
  • loa
  • mitid.uuid
  • mitid.has_cpr
  • dk.cpr
  • mitid.age
  • mitid.date_of_birth
  • mitid.identity_name
  • mitid.transaction_id

Votre confidentialité

Nous utilisons des cookies pour améliorer votre expérience sur nos sites. Cliquez sur « Accepter tous les cookies » pour accepter l'utilisation des cookies. Pour refuser les cookies non essentiels, cliquez sur « Cookies nécessaires uniquement ».

Consultez notre politique de confidentialité pour en savoir plus