Connect to Nets eID Broker with OpenID Connect

FoxIDs puo essere collegato a Nets eID Broker con OpenID Connect e quindi autenticare utenti finali con MitID e altre credenziali supportate da Nets eID Broker.

Come configurare Nets eID Broker in

• ambiente di test usando Nets eID Broker test
• ambiente di produzione usando il portale admin di Nets eID Broker

E possibile richiedere il numero CPR una sola volta al primo login e non nei login successivi.

Puoi testare il login Nets eID Broker test con il sample web app online (documentazione sample) facendo clic su Log in e poi Nets eID Broker TEST.
Dai un'occhiata alla configurazione sample Nets eID Broker in FoxIDs Control: https://control.foxids.com/test-corp
Ottieni accesso in lettura con l'utente reader@foxids.com e la password gEh#V6kSw, poi seleziona l'ambiente Production e la scheda Authentication.

Configuring Nets eID Broker test as OpenID Provider (OP)

Questa guida descrive come collegare un metodo di autenticazione FoxIDs a Nets eID Broker test nell'ambiente di test.
Tutti i redirect URI sono accettati e quindi tutti i client possono collegarsi senza registrazione preventiva.

Questa connessione usa OpenID Connect Authorization Code flow con PKCE, che e il flusso OpenID Connect raccomandato.

Crea un metodo di autenticazione OpenID Connect in FoxIDs Control Client

1. Aggiungi il Name
2. Aggiungi l'authority Nets eID Broker test https://pp.netseidbroker.dk/op nel campo Authority
3. Nella lista Scopes aggiungi mitid per usare MitID e facoltativamente lo scope ssn per richiedere il numero CPR, considera richiedere il numero CPR una sola volta
4. Seleziona Show advanced
5. Facoltativamente aggiungi un Additionally parameter con nome idp_values e ad esempio valore mitid per mostrare l'IdP MitID oppure valore mitid_erhverv per mostrare l'IdP MitID Erhverv.
6. Aggiungi il secret di test Nets eID Broker rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== nel campo Client secret
7. Aggiungi il client id di test Nets eID Broker 0a775a87-878c-4b83-abe3-ee29c720c3e7 nel campo Optional customer SP client ID
8. Seleziona Read claims from the UserInfo Endpoint instead of the access token or ID token
9. Fai clic su Create

E tutto, hai finito.

Il nuovo metodo di autenticazione puo ora essere selezionato come metodo di autenticazione consentito in una registrazione applicativa.
L'applicazione puo leggere i claim dal metodo di autenticazione. Facoltativamente puoi aggiungere * nella lista Issue claims della registrazione applicativa per emettere tutti i claim verso la tua applicazione. Oppure definire uno scope per emettere i claim.

Configuring Nets eID Broker as OpenID Provider (OP)

Questa guida descrive come collegare un metodo di autenticazione FoxIDs a Nets eID Broker nell'ambiente di produzione.

Ti viene concesso accesso al portale admin Nets eID Broker da Nets. Documentazione Nets eID Broker documentation.

Questa connessione usa OpenID Connect Authorization Code flow con PKCE, che e il flusso OpenID Connect raccomandato.

1 - Inizia creando un client API nel portale admin Nets eID Broker

1. Vai a Services & Clients
2. Seleziona il Service Provider
3. Crea o seleziona un Service
4. Fai clic su Add new client
5. Aggiungi un nome client
6. Seleziona Web
7. Fai clic su Create
8. Copia il Client ID
9. Fai clic su Create new Client Secret
10. Seleziona Based on password
11. Aggiungi un nome per il nuovo client secret
12. Fai clic su Generate on server
13. Copia il Secret
14. Fai clic sulla scheda IDP
15. Seleziona MitID e fai clic su Add to pre-selected login options, facoltativamente seleziona anche altri
16. Fai clic sulla scheda Advanced
17. Imposta PKCE su Active

2 - Poi crea un metodo di autenticazione OpenID Connect in FoxIDs Control Client

1. Aggiungi il Name
2. Aggiungi l'authority Nets eID Broker https://netseidbroker.dk/op nel campo Authority
3. Copia i due URL: Redirect URL e Post logout redirect URL
4. Nella lista Scopes aggiungi mitid per usare MitID e facoltativamente lo scope ssn per richiedere il numero CPR, considera richiedere il numero CPR una sola volta
5. Seleziona Show advanced
6. Facoltativamente aggiungi un Additionally parameter con nome idp_values e ad esempio valore mitid per mostrare l'IdP MitID oppure valore mitid_erhverv per mostrare l'IdP MitID Erhverv.
7. Aggiungi il secret Nets eID Broker nel campo Client secret
8. Aggiungi il client id Nets eID Broker nel campo Optional customer SP client ID
9. Seleziona Read claims from the UserInfo Endpoint instead of the access token or ID token
10. Fai clic su Create

3 - Torna al portale admin Nets eID Broker

1. Fai clic sulla scheda Endpoints
2. Aggiungi i due URL dal client del metodo di autenticazione FoxIDs, Redirect URL e Post logout redirect URL, nei campi Login redirects e Logout redirects.

E tutto, hai finito.

Il nuovo metodo di autenticazione puo ora essere selezionato come metodo di autenticazione consentito in una registrazione applicativa.
L'applicazione puo leggere i claim dal metodo di autenticazione. Facoltativamente puoi aggiungere * nella lista Issue claims della registrazione applicativa per emettere tutti i claim verso la tua applicazione. Oppure definire uno scope per emettere i claim.

Only request CPR number once

E possibile fare in modo che FoxIDs salvi il numero CPR dell'utente negli utenti esterni. In questo modo agli utenti viene richiesto il CPR solo la prima volta che effettuano il login.

Per farlo configureremo il metodo di autenticazione Nets eID Broker per eseguire il login senza richiedere un numero CPR e creeremo un profilo che invece richiede il numero CPR. Al primo login, FoxIDs avvia successivamente l'autenticazione con il profilo per ottenere il numero CPR e salva la relazione tra sub dell'utente e numero CPR in un claim su un utente esterno.

Nel metodo di autenticazione Nets eID Broker.

A) Crea prima un profilo

1. Includi solo lo scope mitid nella lista Scopes
2. Seleziona Show advanced
3. Seleziona la scheda Profiles
4. Fai clic su Add Profile
5. Aggiungi un Name, ad esempio Request CPR
6. Aggiungi ssn nella lista Scopes
7. Fai clic su Update - Importante prima di continuare!

b) Poi inizia a creare utenti esterni

1. Seleziona la scheda Create External Users
2. Aggiungi sub nel campo Link claim type
3. Seleziona Yes in Optional create/provision external users automatically
4. Seleziona Yes in Overwrite received claims

c) Configura le claim transforms

1. Nella sezione Create user claim transforms nella scheda Create External Users
2. Aggiungi i claim mitid.has_cpr e dk.cpr in Include claims from authentication method
3. Fai clic su Add claim transform e poi su Match claim
   1. Nella claim transformation
   2. Aggiungi _local:cpr_exist nel campo New claim
   3. Seleziona Add claim, if not match in Action
   4. Aggiungi dk.cpr nel campo Select claim
   5. Aggiungi false nel campo New value
4. Fai clic su Add claim transform e poi su Concatenate
   1. Nella claim transformation
   2. Aggiungi _local:request_cpr nel campo New claim
   3. Seleziona Add claim in Action
   4. Aggiungi mitid.has_cpr e _local:cpr_exist nella lista Concatenate claims
   5. Aggiungi [{0},{1}] nel campo Concatenate format string
5. Fai clic su Add claim task e poi su Match claim and value and start authentication
   1. Nella claim transformation
   2. Seleziona If match in Action
   3. Aggiungi _local:request_cpr nel campo Select claim
   4. Aggiungi [true,false] nel campo Match value
   5. Seleziona il profilo Request CPR di questo metodo di autenticazione nel campo Authentication method
6. Fai clic su Add claim transform e poi su Match claim
   1. Nella claim transformation
   2. Seleziona Remove claim in Action
   3. Aggiungi mitid.has_cpr nel campo Remove claim
7. Fai clic su Update

Scope and claims

Facoltativamente puoi creare uno scope nella registrazione applicativa con i claim Nets eID Broker come Voluntary claims. Lo scope potra quindi essere usato da un client OpenID Connect oppure da un altro metodo di autenticazione FoxIDs che agisce come client OpenID Connect.

Il nome dello scope puo essere, ad esempio, nets_eid_broker

I claim Nets eID Broker piu usati:

• idp
• idp_identity_id
• loa
• mitid.uuid
• mitid.has_cpr
• dk.cpr
• mitid.age
• mitid.date_of_birth
• mitid.identity_name
• mitid.transaction_id

Documentazione correlata

• Metodo di autenticazione OpenID Connect
• Metodi di autenticazione
• OpenID Connect
• Registrazione applicazione OpenID Connect