Interconnect FoxIDs environments with OpenID Connect

Usa questa integrazione quando utenti in un ambiente FoxIDs devono autenticarsi in un altro ambiente FoxIDs. I due ambienti possono trovarsi nello stesso tenant, in tenant diversi oppure in deployment FoxIDs differenti.

L'ambiente che si fida si collega all'altro ambiente con un metodo di autenticazione OpenID Connect. L'ambiente trusted espone una application registration OpenID Connect. Questo rende possibile centralizzare l'autenticazione degli utenti in un ambiente e riutilizzarla da un altro ambiente.

Puoi collegare facilmente due ambienti nello stesso tenant con un Environment Link.

Scegli un Environment Link quando entrambi gli ambienti si trovano nello stesso tenant e vuoi la configurazione piu semplice. Scegli OpenID Connect quando hai bisogno di collegare tenant diversi oppure deployment FoxIDs separati.

L'integrazione supporta autenticazione OpenID Connect, login, RP-initiated logout e front-channel logout. Una sessione viene stabilita quando l'utente si autentica e viene invalidata al logout.

Puoi testare connessioni tra ambienti OpenID Connect con il sample web app online (sample docs) facendo clic su Log in e poi su Parallel FoxIDs environment.
Dai un'occhiata alla configurazione della connessione tra ambienti in FoxIDs Control: https://control.foxids.com/test-corp
Ottieni accesso in lettura con l'utente reader@foxids.com e la password gEh#V6kSw, poi guarda gli ambienti parallel e Production.

I passaggi seguenti configurano un metodo di autenticazione OpenID Connect in un ambiente FoxIDs e una application registration OpenID Connect nell'altro ambiente. Dopo di cio, il primo ambiente potra fidarsi del secondo ambiente per autenticare utenti.

Configure integration

1 - Inizia nel tuo ambiente FoxIDs creando un metodo di autenticazione OpenID Connect in FoxIDs Control Client

1. Aggiungi il nome

Ora e possibile leggere Redirect URL, Post logout redirect URL e Front channel logout URL.

2 - Poi vai nell'ambiente FoxIDs parallelo e crea il client di application registration

Il client e un confidential client che usa Authorization Code Flow e PKCE.

1. Specifica il nome del client nel nome della application registration.
2. Seleziona i metodi di autenticazione consentiti, ad esempio login oppure un altro metodo di autenticazione.
3. Seleziona show advanced.
4. Specifica il redirect URI letto nel tuo metodo di autenticazione.
5. Specifica il post logout redirect URI letto nel tuo metodo di autenticazione.
6. Specifica il front channel logout URI letto nel tuo metodo di autenticazione.
7. Specifica un secret, ricorda il secret per il passaggio successivo.
8. Rimuovi offline_access.
9. Rimuovi o modifica gli scopes in base alle tue esigenze.
10. Fai clic su create.

3 - Torna al tuo metodo di autenticazione FoxIDs in FoxIDs Control Client

1. Aggiungi l'authority del client di application registration dell'ambiente FoxIDs parallelo.

   Per impostazione predefinita l'ambiente parallelo usa il metodo di autenticazione login per autenticare utenti con l'authority https://localhost:44330/testcorp/dev2/foxids_oidcpkce(login)/.
   E possibile selezionare un altro metodo di autenticazione nell'ambiente parallelo. Ad esempio azure_ad con l'authority https://localhost:44330/testcorp/dev2/foxids_oidcpkce(azure_ad)/.

2. Aggiungi gli scopes profile ed email, eventualmente altri scopes.
3. Aggiungi il client secret del client di application registration dell'ambiente FoxIDs parallelo.
4. Aggiungi i claims che saranno trasferiti dal metodo di autenticazione alle application registrations. Ad esempio email, email_verified, name, given_name, family_name, role e possibilmente il claim access_token per trasferire l'access token dell'ambiente FoxIDs parallelo.
5. Fai clic su create.

E tutto, hai finito.

Il tuo nuovo metodo di autenticazione puo ora essere selezionato come metodo di autenticazione consentito nelle application registrations del tuo ambiente.
Le application registrations del tuo ambiente possono leggere i claims dal tuo metodo di autenticazione. E possibile aggiungere il claim access_token per includere l'access token dell'ambiente FoxIDs parallelo come claim nell'access token emesso.