FoxIDs verbinden met OpenID Connect

FoxIDs omgevingen kunnen met OpenID Connect worden verbonden en daarmee eindgebruikers authenticeren in een andere FoxIDs omgeving of een externe Identity Provider (IdP) die als authenticatiemethode is geconfigureerd.
FoxIDs omgevingen kunnen worden verbonden binnen dezelfde FoxIDs tenant of in verschillende FoxIDs tenants. Koppelingen kunnen ook worden geconfigureerd tussen FoxIDs omgevingen in verschillende FoxIDs deployments.

Je kunt twee omgevingen in dezelfde tenant eenvoudig verbinden met een Environment Link.

De integratie tussen twee FoxIDs omgevingen ondersteunt OpenID Connect authenticatie (login), RP-initiated logout en front-channel logout. Een sessie wordt opgezet wanneer de gebruiker zich authenticeert en de sessie wordt ongeldig gemaakt bij logout.

Je kunt OpenID Connect omgevingskoppelingen testen met de online web app sample (sample docs) door op Log in te klikken en daarna Parallel FoxIDs environment.
Bekijk de configuratie van de omgevingskoppeling in FoxIDs Control: https://control.foxids.com/test-corp
Vraag read toegang aan met gebruiker reader@foxids.com en wachtwoord gEh#V6kSw en bekijk de parallel en Production omgevingen.

Hieronder staat hoe je een OpenID Connect authenticatiemethode configureert in je FoxIDs omgeving en een parallelle FoxIDs omgeving vertrouwt waar een OpenID Connect applicatieregistratie is geconfigureerd. Hierdoor vertrouwt je FoxIDs omgeving de parallelle FoxIDs omgeving om gebruikers te authenticeren.

Integratie configureren

1 - Start in je FoxIDs omgeving met het maken van een OpenID Connect authenticatiemethode in FoxIDs Control Client

1. Voeg de naam toe

Het is nu mogelijk om de Redirect URL, Post logout redirect URL en Front channel logout URL te lezen.

2 - Ga daarna naar de parallelle FoxIDs omgeving en maak de applicatieregistratie client

De client is een confidential client die Authorization Code Flow en PKCE gebruikt.

1. Geef een clientnaam op in de applicatieregistratie naam.
2. Selecteer toegestane authenticatiemethoden. Bijv. login of een andere authenticatiemethode.
3. Selecteer show advanced.
4. Geef de redirect URI op die je in je authenticatiemethode hebt gelezen.
5. Geef de post logout redirect URI op die je in je authenticatiemethode hebt gelezen.
6. Geef de front channel logout URI op die je in je authenticatiemethode hebt gelezen.
7. Stel een secret in (onthoud het secret voor de volgende stap).
8. Verwijder de offline_access.
9. Verwijder / bewerk de scopes afhankelijk van je behoeften.
10. Klik create.

3 - Ga terug naar je FoxIDs authenticatiemethode in FoxIDs Control Client

1. Voeg de authority van de applicatieregistratie client in de parallelle FoxIDs omgeving toe.

   Standaard gebruikt de parallelle omgeving de login authenticatiemethode om gebruikers te authenticeren met de authority https://localhost:44330/testcorp/dev2/foxids_oidcpkce(login)/.
   Het is mogelijk om een andere authenticatiemethode te selecteren in de parallelle omgeving. Bijvoorbeeld azure_ad met de authority https://localhost:44330/testcorp/dev2/foxids_oidcpkce(azure_ad)/.

2. Voeg de profile en email scopes toe (eventueel andere of meer scopes).
3. Voeg het client secret van de applicatieregistratie client in de parallelle FoxIDs omgeving toe.
4. Voeg de claims toe die worden overgedragen van de authenticatiemethode naar de applicatieregistraties. Bijvoorbeeld email, email_verified, name, given_name, family_name, role en eventueel de access_token claim om het access token van de parallelle FoxIDs omgeving over te dragen.
5. Klik create.

Dat is alles, je bent klaar.

Je nieuwe authenticatiemethode kan nu worden geselecteerd als toegestane authenticatiemethode in de applicatieregistraties in je omgeving.
De applicatieregistraties in je omgeving kunnen de claims lezen uit je authenticatiemethode. Het is mogelijk om de access_token claim toe te voegen om het access token van de parallelle FoxIDs omgeving als claim in het uitgegeven access token op te nemen.