OpenID Connect autentiseringsmetode

FoxIDs OpenID Connect autentiseringsmetode som stoler på en ekstern OpenID Provider (OP) / Identity Provider (IdP).

Det er mulig å konfigurere flere OpenID Connect autentiseringsmetoder som deretter kan velges av applikasjonsregistreringer.

How to guides:

• Koble til IdentityServer
• Koble til Microsoft Entra ID
• Koble til Azure AD B2C
• Koble til Amazon Cognito
• Koble til Google
• Koble til Facebook
• Koble til Signicat
• Koble til Nets eID Broker
• Koble sammen to FoxIDs miljøer i samme eller ulike tenants med OpenID Connect
• Koble sammen to FoxIDs miljøer i samme tenant med en Environment Link

Det anbefales å bruke OpenID Connect Authorization Code flow med PKCE, fordi det anses som en sikker flow.

Configuration

Slik konfigurerer du en ekstern OpenID Provider (OP) som authority.

Følgende skjermbilde viser grunnleggende konfigurasjon av FoxIDs OpenID Connect autentiseringsmetode i FoxIDs Control Client.

Flere konfigurasjonsalternativer blir tilgjengelige ved å klikke Show advanced.

FoxIDs kaller automatisk OpenID Configuration endpoint (.well-known/openid-configuration) ved opprettelse. Du kan se den la til konfigurasjonen ved å åpne autentiseringsmetoden igjen.

FoxIDs leser automatisk fremtidige oppdateringer. Hvis endepunktet blir utilgjengelig i en periode stopper FoxIDs den automatiske oppdateringsprosessen. Den kan restartes ved å oppdatere autentiseringsmetoden i FoxIDs Control Client eller API.

FoxIDs Control Client støtter bare å opprette automatisk oppdaterte autentiseringsmetoder ved å bruke OpenID Configuration endpoint. FoxIDs Control API støtter både automatisk og manuelt oppdaterte autentiseringsmetoder. I manuel modus kan du spesifisere alle verdier og OpenID Configuration endpoint (.well-known/openid-configuration) vil ikke bli kalt.

Som standard er autentiseringsmetoden konfigurert for Authorization Code Flow, til å bruke PKCE og lese claims fra det eksterne access token. Disse innstillingene kan endres.

Default client authentication method er client secret post og kan endres til client secret basic eller private key JWT. Client authentication method none støttes med PKCE.

Scopes som FoxIDs autentiseringsmetode skal sende i requesten til den eksterne OP kan konfigureres, f.eks. profile eller email.

Autentiseringsmetoden videresender kun default claims og claims lagt til i Forward claims-listen til applikasjonsregistreringene. Alle claims videresendes hvis du legger til * (default) i Forward claims-listen.

Default overførte claims er sub, sid, acr og amr.

Du kan endre claims og utføre claim tasks med claim transforms og claim tasks.

FoxIDs bruker som standard parentes tilkoblingsmønster .../(auth-method)/.... Hvis det ikke støttes av den eksterne OP (f.eks. Microsoft Entra ID), kan mønsteret endres til tilde tilkoblingsmønster .../~auth-method~/... eller punkt tilkoblingsmønster .../.auth-method./....

Hvis nødvendig kan en egendefinert client ID konfigureres, ellers brukes autentiseringsmetodenavnet som client ID.

Valgfritt kan issuer endres. Ellers leses den fra OpenID Configuration endpoint. Videre kan flere issuere konfigureres for å stole på tokens fra flere issuere signert med samme nøkkel (ofte brukt med Microsoft Entra ID).