Metodo di autenticazione OpenID Connect
Metodo di autenticazione OpenID Connect di FoxIDs che si fida di un OpenID Provider (OP) / Identity Provider (IdP) esterno.
E possibile configurare piu metodi di autenticazione OpenID Connect che possono poi essere selezionati dalle registrazioni applicative.
Guide pratiche:
- Connetti IdentityServer
- Connetti Microsoft Entra ID
- Connetti Azure AD B2C
- Connetti Amazon Cognito
- Connetti Google
- Connetti Facebook
- Connetti Signicat
- Connetti Nets eID Broker
Si consiglia di usare il flusso OpenID Connect Authorization Code con PKCE, perche e considerato un flusso sicuro.
Connettere ambienti FoxIDs
Gli ambienti FoxIDs possono essere collegati in due modi:
- Environment Link per ambienti nello stesso tenant.
- OpenID Connect per ambienti nello stesso tenant o in tenant differenti.
Scegli Environment Link quando entrambi gli ambienti sono nello stesso tenant e vuoi la configurazione piu semplice. Scegli OpenID Connect quando devi collegare tenant differenti o distribuzioni FoxIDs separate.
Configurazione
Come configurare un OpenID Provider (OP) esterno come authority.
La schermata seguente mostra la configurazione di base del metodo di autenticazione OpenID Connect di FoxIDs disponibile in FoxIDs Control Client.
Ulteriori opzioni di configurazione diventano disponibili facendo clic su
Show advanced.
FoxIDs chiama automaticamente l'endpoint OpenID Configuration (.well-known/openid-configuration) alla creazione. Puoi vedere la configurazione aggiunta riaprendo il metodo di autenticazione.
FoxIDs legge automaticamente gli aggiornamenti futuri. Se l'endpoint diventa non disponibile per un certo periodo, FoxIDs interrompe il processo di aggiornamento automatico. Puoi riavviarlo aggiornando il metodo di autenticazione in FoxIDs Control Client o tramite API.
FoxIDs Control Client supporta solo la creazione di metodi di autenticazione aggiornati automaticamente usando l'endpoint OpenID Configuration. FoxIDs Control API supporta sia metodi aggiornati automaticamente sia manualmente. In modalita manuale puoi specificare tutti i valori e l'endpoint OpenID Configuration (
.well-known/openid-configuration) non verra chiamato.
Per impostazione predefinita il metodo di autenticazione e configurato per Authorization Code Flow, usa PKCE e legge i claim dall'access token esterno. Queste impostazioni possono essere modificate.
Il metodo di autenticazione client predefinito e client secret post e puo essere cambiato in client secret basic o private key JWT. Il metodo di autenticazione client none e supportato con PKCE.
Gli scope che il metodo di autenticazione FoxIDs deve inviare nella richiesta all'OP esterno possono essere configurati, ad esempio profile o email.
Il metodo di autenticazione inoltra solo i claim predefiniti e i claim aggiunti alla lista Forward claims alle registrazioni applicative. Tutti i claim vengono inoltrati se aggiungi * (predefinito) alla lista Forward claims.
I claim trasferiti per impostazione predefinita sono sub, sid, acr e amr.
Puoi modificare i claim ed eseguire claim task con trasformazioni e attivita dei claim.
FoxIDs usa per impostazione predefinita il pattern di connessione con parentesi .../(auth-method)/.... Se non e supportato dall'OP esterno, ad esempio Microsoft Entra ID, il pattern puo essere cambiato nel pattern con tilde .../~auth-method~/... o nel pattern con punto .../.auth-method./....
Se necessario, puo essere configurato un client ID personalizzato; altrimenti viene usato il nome del metodo di autenticazione come client ID.
Facoltativamente l'issuer puo essere modificato. In caso contrario viene letto dall'endpoint OpenID Configuration. Inoltre, possono essere configurati piu issuer per fidarsi di token provenienti da piu issuer firmati con la stessa chiave, spesso con Microsoft Entra ID.