Método de autenticação OpenID Connect
Método de autenticação OpenID Connect do FoxIDs que confia num OpenID Provider (OP) / Identity Provider (IdP) externo.
É possível configurar vários métodos de autenticação OpenID Connect que depois podem ser selecionados pelos registos de aplicação.
Guias práticos:
- Ligar IdentityServer
- Ligar Microsoft Entra ID
- Ligar Azure AD B2C
- Ligar Amazon Cognito
- Ligar Google
- Ligar Facebook
- Ligar Signicat
- Ligar Nets eID Broker
Recomenda-se usar o fluxo OpenID Connect Authorization Code com PKCE, porque é considerado um fluxo seguro.
Ligar ambientes FoxIDs
Os ambientes FoxIDs podem ser ligados de duas formas:
- Environment Link para ambientes no mesmo tenant.
- OpenID Connect para ambientes no mesmo tenant ou em tenants diferentes.
Escolha Environment Link quando ambos os ambientes estiverem no mesmo tenant e quiser a configuração mais simples. Escolha OpenID Connect quando precisar de ligar tenants diferentes ou implementações FoxIDs separadas.
Configuração
Como configurar um OpenID Provider (OP) externo como authority.
O ecrã seguinte mostra a configuração base do método de autenticação OpenID Connect do FoxIDs disponível no FoxIDs Control Client.
Opções de configuração adicionais ficam disponíveis ao clicar em
Show advanced.
O FoxIDs chama automaticamente o endpoint OpenID Configuration (.well-known/openid-configuration) na criação. Pode ver a configuração adicionada reabrindo o método de autenticação.
O FoxIDs lê automaticamente atualizações futuras. Se o endpoint ficar indisponível durante algum tempo, o FoxIDs interrompe o processo de atualização automática. Pode reiniciá-lo ao atualizar o método de autenticação no FoxIDs Control Client ou via API.
O FoxIDs Control Client só suporta a criação de métodos de autenticação atualizados automaticamente usando o endpoint OpenID Configuration. A FoxIDs Control API suporta tanto métodos atualizados automaticamente como manualmente. No modo manual, pode especificar todos os valores e o endpoint OpenID Configuration (
.well-known/openid-configuration) não será chamado.
Por predefinição, o método de autenticação está configurado para Authorization Code Flow, usa PKCE e lê claims do access token externo. Estas definições podem ser alteradas.
O método de autenticação de cliente predefinido é client secret post e pode ser alterado para client secret basic ou private key JWT. O método de autenticação de cliente none é suportado com PKCE.
Os scopes que o método de autenticação FoxIDs deve enviar no pedido ao OP externo podem ser configurados, por exemplo profile ou email.
O claim access_token pode ser encaminhado para disponibilizar o access token externo aos registos de aplicação. Se o OpenID Provider externo devolver um refresh token, o claim refresh_token também pode ser encaminhado. Os refresh tokens só estão disponíveis quando são devolvidos pelo provider externo, normalmente ao usar Authorization Code Flow e o scope necessário, por exemplo offline_access.
O método de autenticação apenas encaminha claims predefinidos e os claims adicionados à lista Forward claims para os registos de aplicação. Todos os claims são encaminhados se adicionar * (predefinição) à lista Forward claims.
Os claims transferidos por predefinição são sub, sid, acr e amr.
Pode modificar claims e executar claim tasks com transformações e tarefas de claims.
O FoxIDs usa por predefinição o padrão de ligação com parênteses .../(auth-method)/.... Se isso não for suportado pelo OP externo, por exemplo Microsoft Entra ID, o padrão pode ser alterado para o padrão com til .../~auth-method~/... ou para o padrão com ponto .../.auth-method./....
Se necessário, pode ser configurado um client ID personalizado; caso contrário, o nome do método de autenticação é usado como client ID.
Opcionalmente, o issuer pode ser alterado. Caso contrário, é lido a partir do endpoint OpenID Configuration. Além disso, podem ser configurados vários issuers para confiar em tokens provenientes de vários issuers assinados com a mesma chave, algo frequente com Microsoft Entra ID.