Interconnect FoxIDs environments with OpenID Connect

Use esta integracao quando utilizadores num ambiente FoxIDs devem autenticar-se noutro ambiente FoxIDs. Os dois ambientes podem estar no mesmo tenant, em tenants diferentes ou em deployments FoxIDs diferentes.

O ambiente que confia liga-se ao outro ambiente com um metodo de autenticacao OpenID Connect. O ambiente trusted expoe uma application registration OpenID Connect. Isto torna possivel centralizar a autenticacao de utilizadores num ambiente e reutiliza-la a partir de outro ambiente.

Pode ligar facilmente dois ambientes no mesmo tenant com um Environment Link.

Escolha um Environment Link quando ambos os ambientes estiverem no mesmo tenant e quiser a configuracao mais simples. Escolha OpenID Connect quando precisar de ligar entre tenants ou entre deployments FoxIDs separados.

A integracao suporta autenticacao OpenID Connect, login, RP-initiated logout e front-channel logout. E estabelecida uma sessao quando o utilizador se autentica e ela e invalidada no logout.

Pode testar ligacoes entre ambientes OpenID Connect com o sample web app online (sample docs) clicando em Log in e depois em Parallel FoxIDs environment.
Veja a configuracao da ligacao entre ambientes no FoxIDs Control: https://control.foxids.com/test-corp
Obtenha acesso de leitura com o utilizador reader@foxids.com e a password gEh#V6kSw, depois veja os ambientes parallel e Production.

Os passos seguintes configuram um metodo de autenticacao OpenID Connect num ambiente FoxIDs e uma application registration OpenID Connect no outro ambiente. Depois disso, o primeiro ambiente pode confiar no segundo ambiente para autenticar utilizadores.

Configure integration

1 - Comece no seu ambiente FoxIDs criando um metodo de autenticacao OpenID Connect no FoxIDs Control Client

1. Adicione o nome

Passa agora a ser possivel ler Redirect URL, Post logout redirect URL e Front channel logout URL.

2 - Depois va ao ambiente FoxIDs paralelo e crie o cliente da application registration

O cliente e um confidential client que usa Authorization Code Flow e PKCE.

1. Especifique o nome do cliente no nome da application registration.
2. Selecione os metodos de autenticacao permitidos. Por exemplo login ou outro metodo de autenticacao.
3. Selecione show advanced.
4. Especifique o redirect URI lido no seu metodo de autenticacao.
5. Especifique o post logout redirect URI lido no seu metodo de autenticacao.
6. Especifique o front channel logout URI lido no seu metodo de autenticacao.
7. Especifique um secret, lembre-se do secret para o passo seguinte.
8. Remova offline_access.
9. Remova ou edite os scopes consoante as suas necessidades.
10. Clique em create.

3 - Volte ao seu metodo de autenticacao FoxIDs no FoxIDs Control Client

1. Adicione a authority do cliente da application registration do ambiente FoxIDs paralelo.

   Por predefinicao o ambiente paralelo usa o metodo de autenticacao login para autenticar utilizadores com a authority https://localhost:44330/testcorp/dev2/foxids_oidcpkce(login)/.
   E possivel selecionar outro metodo de autenticacao no ambiente paralelo. Por exemplo azure_ad com a authority https://localhost:44330/testcorp/dev2/foxids_oidcpkce(azure_ad)/.

2. Adicione os scopes profile e email, e possivelmente outros scopes.
3. Adicione o client secret do cliente da application registration do ambiente FoxIDs paralelo.
4. Adicione os claims que serao transferidos do metodo de autenticacao para as application registrations. Por exemplo email, email_verified, name, given_name, family_name, role e possivelmente o claim access_token para transferir o access token do ambiente FoxIDs paralelo.
5. Clique em create.

E so isso, terminou.

O seu novo metodo de autenticacao pode agora ser selecionado como metodo de autenticacao permitido nas application registrations do seu ambiente.
As application registrations do seu ambiente podem ler os claims do seu metodo de autenticacao. E possivel adicionar o claim access_token para incluir o access token do ambiente FoxIDs paralelo como claim no access token emitido.