Ofte stilte spørsmål
Hvorfor sendes ikke alle claims til applikasjonen?
Kun sub, sid, acr og amr claims blir sendt videre. Jeg får flere claims fra autentiseringsmetoden ved å bruke log claim trace. Hva gjør jeg feil?
Som standard skal en autentiseringsmetode sende alle claims videre til applikasjonsregistreringen hvis Forward Claims har *.
Du kan også få applikasjonsregistreringen (i dette tilfellet en OpenID Connect klient) til å legge alle claims i access token som utstedes til applikasjonen (ikke standard).
Gå til applikasjonsregistreringen, klikk Show advanced og legg til * i Issue claims feltet. Valgfritt kan du også inkludere alle claims i det utstedte ID token.
Er det mulig å unngå dialogen "Velg en konto"?
Ja, FoxIDs støtter å videreføre login hint fra en autentiseringsmetode til en ekstern IdP eller en annen FoxIDs applikasjonsregistrering. I OpenID Connect videresendes login hint i parameteren login_hint.
I SAML 2.0 videresendes login hint som et NameID i Subject elementet og aksepterer ellers en login_hint/LoginHint/username query eller form parameter fra SAML relying party.
Hvorfor kan jeg ikke logge ut hvis sertifikatcontainer typen endres?
Jeg klarer ikke å logge ut av en klient ved bruk av OIDC hvis jeg logger inn og deretter endrer sertifikatcontainer typen.
Problemet oppstår hvis OIDC logout krever et ID Token før logout aksepteres. I dette tilfellet er ID token ugyldig fordi container typen og dermed signeringssertifikatet er endret.
Løsning: Du må lukke nettleseren og starte på nytt.
Hvordan oppdateres et eksternt SAML 2.0 IdP sertifikat og kan det automatiseres?
FoxIDs vil automatisk begynne å akseptere det nye sertifikatet hvis den eksterne IdP legger det nye sertifikatet til den eksisterende SAML 2.0 metadatafilen eller metadata endpointet minst 24 timer i forkant. En SAML 2.0 metadatafil kan ha mange sertifikater.
Du kan tvinge en metadata oppdatering ved å klikke Update på autentiseringsmetoden i FoxIDs.
Hvis ekstern IdP oppretter en ny SAML 2.0 metadatafil eller kun overleverer sertifikatet, finnes det bare den manuelle måten.
Hvem eier sikkerhetskomponentene som brukes til å bygge FoxIDs?
FoxIDs er bygget med sikkerhetskomponenter eid av FoxIDs ApS, og kildekoden er publisert.
- SAML 2.0 er implementert med ITfoxtec.Identity.Saml2 (docs) komponenten
- OAuth 2.0 og OpenID Connect er implementert med ITfoxtec.Identity komponenten
- OpenID Connect i Control Client er implementert med ITfoxtec.Identity.BlazorWebAssembly.OpenidConnect komponenten.
FoxIDs var tidligere kjent som ITfoxtec.
Støttes matching issuer og authority?
Standarden OpenID Connect Discovery 1.0 spesifiserer:
Issuer verdien som returneres MÅ være identisk med Issuer URL som ble brukt som prefiks til /.well-known/openid-configuration for å hente konfigurasjonsinformasjonen.
Denne delen av spesifikasjonen er kjent for å være problematisk, og tvinger OpenID Provideren til å levere separate issuers for klienter og ressurser for å muliggjøre spesifikk OIDC Discovery for klienter og ressurser.
Som standard tilbyr FoxIDs derfor én issuer per miljø.
Du kan aktivere matching issuer og authority på OpenID Connect og OAuth 2.0 applikasjoner.
- Finn og åpne applikasjonsregistreringen
- Velg Show advanced
- Aktiver Use matching issuer and authority with application specific issuer
Ved å bruke en applikasjonsspesifikk issuer vil issuer endre seg hvis de valgte autentiseringsmetodene i authority URL endrer seg.
Hvis du bruker APIer (ressurser), vær oppmerksom på at issuer endres avhengig av den kallende applikasjonen (klienten).
Token exchange er kun mulig med tilsvarende autentiseringsmetoder.
Hvordan kan jeg fjerne alle brukere i et miljø?
Du kan slette brukere i et miljø ved å bruke SeedTool, som lar deg fjerne brukere i bulk.
Alternativt vil sletting av miljøet også slette brukerne.
Hvordan kan jeg slette et miljø?
For å slette et miljø, gå til Settings fanen i miljøet, deretter Environment fanen. Scroll ned og klikk Delete environment.
Hvorfor endres ikke mitt tilpassede domene i Master miljøet?
Dette er forventet. I Master miljøet brukes ikke det tilpassede domenet. Det tilpassede domenet trer i kraft i alle andre miljøer (for eksempel dev, test og prod). Bytt til et ikke Master miljø for å se ditt tilpassede domene brukt.