Verbind Nets eID Broker met OpenID Connect

FoxIDs kan met Nets eID Broker worden verbonden via OpenID Connect en daardoor eindgebruikers authenticeren met MitID en andere door Nets eID Broker ondersteunde credentials.

Zo configureer je Nets eID Broker in

• testomgeving met Nets eID Broker test
• productieomgeving met Nets eID Broker admin portal

Het is mogelijk om slechts één keer een CPR nummer te vragen bij de eerste login en niet bij volgende logins.

Je kunt de Nets eID Broker test login testen met de online web app sample (sample docs) door op Log in en daarna Nets eID Broker TEST te klikken. Bekijk de Nets eID Broker sample configuratie in FoxIDs Control: https://control.foxids.com/test-corp Vraag read toegang aan met gebruiker reader@foxids.com en wachtwoord gEh#V6kSw en selecteer daarna de Production omgeving en het tabblad Authentication.

Nets eID Broker test als OpenID Provider (OP) configureren

Deze gids beschrijft hoe je een FoxIDs authenticatiemethode verbindt met Nets eID Broker test in de testomgeving. Alle redirect URIs worden geaccepteerd en daardoor kunnen alle clients verbinden zonder voorafgaande registratie.

Deze verbinding gebruikt OpenID Connect Authorization Code flow met PKCE, wat de aanbevolen OpenID Connect flow is.

Maak een OpenID Connect authenticatiemethode in FoxIDs Control Client

1. Voeg Name toe
2. Voeg de Nets eID Broker test authority https://pp.netseidbroker.dk/op toe in het veld Authority
3. Voeg in de Scopes lijst mitid toe om MitID te gebruiken en optioneel ssn scope om een CPR nummer te vragen (zie CPR nummer slechts één keer vragen)
4. Selecteer Show advanced
5. Voeg optioneel een Additionally parameter toe met de naam idp_values en bijv. de waarde mitid om de MitID IdP te tonen, of bijv. de waarde mitid_erhverv om de MitID Erhverv IdP te tonen.
6. Voeg de Nets eID Broker test secret rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== toe in het veld Client secret
7. Voeg de Nets eID Broker test client id 0a775a87-878c-4b83-abe3-ee29c720c3e7 toe in het veld Optional customer SP client ID
8. Selecteer Read claims from the UserInfo Endpoint instead of the access token or ID token
9. Klik Create

Dat is alles.

De nieuwe authenticatiemethode kan nu worden geselecteerd als toegestane authenticatiemethode in een applicatieregistratie. De applicatie kan de claims lezen uit de authenticatiemethode. Je kunt optioneel een * toevoegen in de Issue claims lijst van de applicatieregistratie om alle claims uit te geven. Of definieer een scope om claims uit te geven.

Nets eID Broker als OpenID Provider (OP) configureren

Deze gids beschrijft hoe je een FoxIDs authenticatiemethode verbindt met Nets eID Broker in de productieomgeving.

Je krijgt toegang tot het Nets eID Broker admin portal via Nets. De Nets eID Broker documentatie.

Deze verbinding gebruikt OpenID Connect Authorization Code flow met PKCE, wat de aanbevolen OpenID Connect flow is.

1 - Begin met het maken van een API client in het Nets eID Broker admin portal

1. Ga naar Services & Clients
2. Selecteer de Service Provider
3. Maak of selecteer een Service
4. Klik Add new client
5. Voeg een Client name toe
6. Selecteer Web
7. Klik Create
8. Kopieer de Client ID
9. Klik Create new Client Secret
10. Selecteer Based on password
11. Voeg een naam toe voor de nieuwe client secret
12. Klik Generate on server
13. Kopieer het Secret
14. Klik het tabblad IDP
15. Selecteer MitID en klik Add to pre-selected login options, optioneel selecteer je andere
16. Klik het tabblad Advanced
17. Zet PKCE op Active

2 - Maak daarna een OpenID Connect authenticatiemethode in FoxIDs Control Client

1. Voeg Name toe
2. Voeg de Nets eID Broker authority https://netseidbroker.dk/op toe in het veld Authority
3. Kopieer de twee URLs: Redirect URL en Post logout redirect URL
4. Voeg in de Scopes lijst mitid toe om MitID te gebruiken en optioneel ssn scope om een CPR nummer te vragen (zie CPR nummer slechts één keer vragen)
5. Selecteer Show advanced
6. Voeg optioneel een Additionally parameter toe met de naam idp_values en bijv. de waarde mitid om de MitID IdP te tonen, of bijv. de waarde mitid_erhverv om de MitID Erhverv IdP te tonen.
7. Voeg de Nets eID Broker secret toe in het veld Client secret
8. Voeg de Nets eID Broker client id toe in het veld Optional customer SP client ID
9. Selecteer Read claims from the UserInfo Endpoint instead of the access token or ID token
10. Klik Create

3 - Ga terug naar het Nets eID Broker admin portal

1. Klik het tabblad Endpoints
2. Voeg de twee URLs uit de FoxIDs authenticatiemethode client: Redirect URL en Post logout redirect URL toe in de velden Login redirects en Logout redirects.

Dat is alles.

De nieuwe authenticatiemethode kan nu worden geselecteerd als toegestane authenticatiemethode in een applicatieregistratie. De applicatie kan de claims lezen uit de authenticatiemethode. Je kunt optioneel een * toevoegen in de Issue claims lijst van de applicatieregistratie om alle claims uit te geven. Of definieer een scope om claims uit te geven.

CPR nummer slechts een keer vragen

Het is mogelijk om FoxIDs het CPR nummer van de gebruiker te laten opslaan bij externe gebruikers. Dan worden gebruikers alleen de eerste keer om CPR gevraagd.

Om dit te bereiken configureren we de Nets eID Broker authenticatiemethode om in te loggen zonder CPR te vragen en maken we een profiel dat CPR vraagt. Bij de eerste login start FoxIDs daarna authenticatie met het profiel om het CPR nummer op te halen en slaat de relatie van de gebruiker sub naar CPR nummer op als claim op een externe gebruiker.

In de Nets eID Broker authenticatiemethode.

A) Maak eerst een profiel

1. Neem alleen mitid scope op in de Scopes lijst
2. Selecteer Show advanced
3. Selecteer het tabblad Profiles
4. Klik Add Profile
5. Voeg Name toe, bijv. Request CPR
6. Voeg ssn toe in de Scopes lijst
7. Klik Update - Belangrijk voordat je verdergaat!

b) Begin daarna met het maken van externe gebruikers

1. Selecteer het tabblad Create External Users
2. Voeg sub toe in het veld Link claim type
3. Selecteer Yes bij Optional create/provision external users automatically
4. Selecteer Yes bij Overwrite received claims

c) Claim transforms instellen

1. In de sectie Create user claim transforms op het tabblad Create External Users
2. Voeg de claims mitid.has_cpr en dk.cpr toe bij Include claims from authentication method
3. Klik Add claim transform en klik Match claim
   1. In de claim transformation
   2. Voeg _local:cpr_exist toe in het veld New claim
   3. Selecteer Add claim, if not match bij Action
   4. Voeg dk.cpr toe in het veld Select claim
   5. Voeg false toe in het veld New value
4. Klik Add claim transform en klik Concatenate
   1. In de claim transformation
   2. Voeg _local:request_cpr toe in het veld New claim
   3. Selecteer Add claim bij Action
   4. Voeg mitid.has_cpr en _local:cpr_exist toe aan de Concatenate claims lijst
   5. Voeg [{0},{1}] toe in het veld Concatenate format string
5. Klik Add claim task en klik Match claim and value and start authentication
   1. In de claim transformation
   2. Selecteer If match bij Action
   3. Voeg _local:request_cpr toe in het veld Select claim
   4. Voeg [true,false] toe in het veld Match value
   5. Selecteer het Request CPR profiel van deze authenticatiemethode bij Authentication method
6. Klik Add claim transform en klik Match claim
   1. In de claim transformation
   2. Selecteer Remove claim bij Action
   3. Voeg mitid.has_cpr toe in het veld Remove claim
7. Klik Update

Scope en claims

Je kunt optioneel een scope maken in de applicatieregistratie met Nets eID Broker claims als Voluntary claims. De scope kan vervolgens worden gebruikt door een OpenID Connect client of een andere FoxIDs authenticatiemethode die optreedt als OpenID Connect client.

De naam van de scope kan bijv. nets_eid_broker zijn

De meest gebruikte Nets eID Broker claims:

• idp
• idp_identity_id
• loa
• mitid.uuid
• mitid.has_cpr
• dk.cpr
• mitid.age
• mitid.date_of_birth
• mitid.identity_name
• mitid.transaction_id