Połącz z Nets eID Broker za pomocą OpenID Connect

FoxIDs można połączyć z Nets eID Broker przy użyciu OpenID Connect, aby uwierzytelniać użytkowników końcowych MitID i innymi poświadczeniami obsługiwanymi przez Nets eID Broker.

Jak skonfigurować Nets eID Broker w:

• środowisku testowym z użyciem testowego Nets eID Broker
• środowisku produkcyjnym z użyciem portalu administracyjnego Nets eID Broker

Możesz żądać numeru CPR tylko raz przy pierwszym logowaniu, a nie przy kolejnych logowaniach.

Logowanie testowe Nets eID Broker możesz przetestować w przykładowej aplikacji online (dokumentacja przykładu), klikając Log in, a następnie Nets eID Broker TEST.
Zobacz konfigurację przykładu Nets eID Broker w FoxIDs Control: https://control.foxids.com/test-corp
Uzyskaj dostęp do odczytu użytkownikiem reader@foxids.com i hasłem gEh#V6kSw, a następnie wybierz środowisko Production i kartę Authentication.

Konfiguracja Nets eID Broker test jako OpenID Provider (OP)

Ten przewodnik opisuje, jak podłączyć metodę uwierzytelniania FoxIDs do testowego Nets eID Broker w środowisku testowym.
Wszystkie redirect URI są akceptowane, dlatego wszyscy klienci mogą się podłączyć bez wcześniejszej rejestracji.

To połączenie używa przepływu OpenID Connect Authorization Code z PKCE, który jest zalecanym przepływem OpenID Connect.

Utwórz metodę uwierzytelniania OpenID Connect w FoxIDs Control Client

1. Dodaj Name
2. Dodaj testowe authority Nets eID Broker https://pp.netseidbroker.dk/op w polu Authority
3. W liście Scopes dodaj mitid, aby użyć MitID, oraz opcjonalnie zakres ssn, aby żądać numeru CPR (zobacz żądać numeru CPR tylko raz)
4. Wybierz Show advanced
5. Opcjonalnie dodaj Additionally parameter o nazwie idp_values i np. wartości mitid, aby pokazać IdP MitID, lub np. wartości mitid_erhverv, aby pokazać IdP MitID Erhverv.
6. Dodaj testowy sekret Nets eID Broker rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== w polu Client secret
7. Dodaj testowy client id Nets eID Broker 0a775a87-878c-4b83-abe3-ee29c720c3e7 w polu Optional customer SP client ID
8. Wybierz Read claims from the UserInfo Endpoint instead of the access token or ID token
9. Kliknij Create

To wszystko, gotowe.

Nowa metoda uwierzytelniania może zostać wybrana jako dozwolona metoda uwierzytelniania w rejestracji aplikacji.
Aplikacja może odczytywać claimy z metody uwierzytelniania. Opcjonalnie możesz dodać * w liście Issue claims w rejestracji aplikacji, aby wystawiać wszystkie claimy do aplikacji. Możesz też zdefiniować zakres do wystawiania claimów.

Konfiguracja Nets eID Broker jako OpenID Provider (OP)

Ten przewodnik opisuje, jak podłączyć metodę uwierzytelniania FoxIDs do Nets eID Broker w środowisku produkcyjnym.

Dostęp do portalu administracyjnego Nets eID Broker otrzymujesz od Nets. Dokumentacja Nets eID Broker: link.

To połączenie używa przepływu OpenID Connect Authorization Code z PKCE, który jest zalecanym przepływem OpenID Connect.

1 - Zacznij od utworzenia klienta API w portalu administracyjnym Nets eID Broker

1. Przejdź do Services & Clients
2. Wybierz Service Provider
3. Utwórz lub wybierz Service
4. Kliknij Add new client
5. Dodaj nazwę klienta
6. Wybierz Web
7. Kliknij Create
8. Skopiuj Client ID
9. Kliknij Create new Client Secret
10. Wybierz Based on password
11. Dodaj nazwę dla nowego client secret
12. Kliknij Generate on server
13. Skopiuj Secret
14. Kliknij kartę IDP
15. Wybierz MitID i kliknij Add to pre-selected login options, opcjonalnie wybierz inne
16. Kliknij kartę Advanced
17. Ustaw PKCE na Active

2 - Następnie utwórz metodę uwierzytelniania OpenID Connect w FoxIDs Control Client

1. Dodaj Name
2. Dodaj authority Nets eID Broker https://netseidbroker.dk/op w polu Authority
3. Skopiuj dwa adresy URL: Redirect URL i Post logout redirect URL
4. W liście Scopes dodaj mitid, aby użyć MitID, oraz opcjonalnie zakres ssn, aby żądać numeru CPR (zobacz żądać numeru CPR tylko raz)
5. Wybierz Show advanced
6. Opcjonalnie dodaj Additionally parameter o nazwie idp_values i np. wartości mitid, aby pokazać IdP MitID, lub np. wartości mitid_erhverv, aby pokazać IdP MitID Erhverv.
7. Dodaj sekret Nets eID Broker w polu Client secret
8. Dodaj client id Nets eID Broker w polu Optional customer SP client ID
9. Wybierz Read claims from the UserInfo Endpoint instead of the access token or ID token
10. Kliknij Create

3 - Wróć do portalu administracyjnego Nets eID Broker

1. Kliknij kartę Endpoints
2. Dodaj dwa adresy URL z klienta metody uwierzytelniania FoxIDs: Redirect URL i Post logout redirect URL w polach Login redirects i Logout redirects.

To wszystko, gotowe.

Nowa metoda uwierzytelniania może zostać wybrana jako dozwolona metoda uwierzytelniania w rejestracji aplikacji.
Aplikacja może odczytywać claimy z metody uwierzytelniania. Opcjonalnie możesz dodać * w liście Issue claims w rejestracji aplikacji, aby wystawiać wszystkie claimy do aplikacji. Możesz też zdefiniować zakres do wystawiania claimów.

Żądaj numeru CPR tylko raz

FoxIDs może zapisać numer CPR użytkownika w zewnętrznych użytkownikach. Wtedy użytkownicy są proszeni o CPR tylko przy pierwszym logowaniu.

Aby to osiągnąć, skonfigurujemy metodę uwierzytelniania Nets eID Broker do logowania bez żądania numeru CPR i utworzymy profil, który CPR wymaga. Przy pierwszym logowaniu FoxIDs następnie inicjuje uwierzytelnienie z profilem, aby uzyskać numer CPR i zapisać relację sub użytkownika do numeru CPR w claimie użytkownika zewnętrznego.

W metodzie uwierzytelniania Nets eID Broker:

A) Najpierw utwórz profil

1. W liście Scopes pozostaw tylko zakres mitid
2. Wybierz Show advanced
3. Wybierz kartę Profiles
4. Kliknij Add Profile
5. Dodaj Name, np. Request CPR
6. Dodaj ssn do listy Scopes
7. Kliknij Update – ważne przed kontynuacją!

b) Następnie zacznij tworzyć użytkowników zewnętrznych

1. Wybierz kartę Create External Users
2. Dodaj sub w polu Link claim type
3. Wybierz Yes w Optional create/provision external users automatically
4. Wybierz Yes w Overwrite received claims

c) Skonfiguruj transformacje claimów

1. W sekcji Create user claim transforms w karcie Create External Users
2. Dodaj claimy mitid.has_cpr i dk.cpr w Include claims from authentication method
3. Kliknij Add claim transform i wybierz Match claim
   1. W transformacji claimów
   2. Dodaj _local:cpr_exist w polu New claim
   3. W Action wybierz Add claim, if not match
   4. Dodaj dk.cpr w polu Select claim
   5. Dodaj false w polu New value
4. Kliknij Add claim transform i wybierz Concatenate
   1. W transformacji claimów
   2. Dodaj _local:request_cpr w polu New claim
   3. W Action wybierz Add claim
   4. Dodaj mitid.has_cpr i _local:cpr_exist do listy Concatenate claims
   5. Dodaj [{0},{1}] w polu Concatenate format string
5. Kliknij Add claim task i wybierz Match claim and value and start authentication
   1. W transformacji claimów
   2. W Action wybierz If match
   3. Dodaj _local:request_cpr w polu Select claim
   4. Dodaj [true,false] w polu Match value
   5. W Authentication method wybierz profil Request CPR tej metody uwierzytelniania
6. Kliknij Add claim transform i wybierz Match claim
   1. W transformacji claimów
   2. W Action wybierz Remove claim
   3. Dodaj mitid.has_cpr w polu Remove claim
7. Kliknij Update

Zakres i claimy

Opcjonalnie możesz utworzyć zakres w rejestracji aplikacji z claimami Nets eID Broker jako Voluntary claims. Taki zakres może być używany przez klienta OpenID Connect lub inną metodę uwierzytelniania FoxIDs działającą jako klient OpenID Connect.

Nazwa zakresu może być np. nets_eid_broker.

Najczęściej używane claimy Nets eID Broker:

• idp
• idp_identity_id
• loa
• mitid.uuid
• mitid.has_cpr
• dk.cpr
• mitid.age
• mitid.date_of_birth
• mitid.identity_name
• mitid.transaction_id