Anslut Microsoft Entra ID med OpenID Connect
FoxIDs kan anslutas till Microsoft Entra ID med OpenID Connect och därmed autentisera slutanvändare i en Microsoft Entra ID tenant.
Det är möjligt att ansluta både en single tenant och multitenant Microsoft Entra ID app som en autentiseringsmetod i FoxIDs med OpenID Connect.
Ett mer komplext fall är att läsa claims från access token.
Om du konfigurerar App roles returneras de i roles claim.
Du kan testa Microsoft Entra ID login med online web app sample (sample docs) genom att klicka
Log inoch sedanMicrosoft Entra ID. Se Microsoft Entra ID sample konfigurationen i FoxIDs Control: https://control.foxids.com/test-corp Få read åtkomst med användarenreader@foxids.comoch lösenordgEh#V6kSwoch välj sedanProductionmiljön och flikenAuthentication.
Konfigurera single tenant
Det här avsnittet beskriver hur du konfigurerar en Microsoft Entra ID single tenant anslutning med OpenID Connect Authorization Code flow och PKCE, vilket är det rekommenderade OpenID Connect flowet.
1 - Börja med att skapa en OpenID Connect autentiseringsmetod i FoxIDs Control Client
- Lägg till namnet
- Välj show advanced
- Välj tildes URL binding pattern
Det är nu möjligt att läsa Redirect URL och Front channel logout URL.
2 - Gå sedan till Azure Portal och skapa Microsoft Entra ID appen
- Lägg till namnet
- Välj single tenant
- (Det är en Web applikation) Lägg till FoxIDs autentiseringsmetod
Redirect URL - Klicka Register
- Kopiera Application (client) ID
- Kopiera Directory (tenant) ID
- Gå till Authentication fliken och lägg till FoxIDs autentiseringsmetod
Front channel logout URL, klicka save - Gå till Certificates & secrets fliken och klicka New client secret och lägg till hemligheten
- Alternativt, använd ett client certificate istället för en secret
- Kopiera client secret värdet (inte secret ID)
- Gå till Token configuration fliken och klicka Add optional claims. Välj ID (för att lägga till claims i ID token) och välj
email,family_name,given_name,ipaddr,preferred_usernameoch klicka Add två gånger.
3 - Gå tillbaka till FoxIDs autentiseringsmetoden i FoxIDs Control Client
- Lägg till authority, som är
https://login.microsoftonline.com/{Microsoft Entra ID tenant ID}/v2.0(t.ex.https://login.microsoftonline.com/82B2EBAE-5864-4C9F-8F78-40CB172BC7E1/v2.0) - Lägg till Microsoft Entra ID client ID som en custom SP client ID
- Lägg till
profileochemailscopes (möjliga andra eller fler scopes) - Lägg till Microsoft Entra ID client secret värdet som client secret
- Alternativt, välj show advanced, ändra client authentication method till
private key JWToch ladda upp client certifikatet
- Alternativt, välj show advanced, ändra client authentication method till
- Välj use claims from ID token
- Lägg till de claims som överförs från autentiseringsmetoden till applikationsregistreringarna. T.ex.
preferred_username,email,name,given_name,family_name,oid,ipaddroch eventuelltaccess_tokenclaim för att överföra Microsoft Entra ID access token till applikationsregistreringar. - Välj
Noi Front channel logout session required - Klicka create
Det var allt.
Det är möjligt att se claims som returneras från Microsoft Entra ID appen i FoxIDs log genom att ändra log inställningarna till att logga claims och eventuellt logga hela meddelandet och därefter avkoda de mottagna JWT:erna
Den nya autentiseringsmetoden kan nu väljas som en tillåten autentiseringsmetod i en applikationsregistrering. Applikationsregistreringen kan läsa claims från autentiseringsmetoden. Det är möjligt att lägga till access_token claim för att inkludera Microsoft Entra ID access token som en claim i det utfärdade access token.
Konfigurera multitenant
Det här avsnittet beskriver hur du konfigurerar en Microsoft Entra ID multitenant anslutning med OpenID Connect Authorization Code flow och PKCE.
Multitenant konfigurationen skiljer sig något från single tenant konfigurationen.
1 - Microsoft Entra ID Portalen
- Under skapandet av appen välj multitenant
2 - FoxIDs autentiseringsmetoden i FoxIDs Control Client
- Lägg till authority
https://login.microsoftonline.com/common/v2.0 - Välj edit issuer
- Ändra issuer till
https://login.microsoftonline.com/{Microsoft Entra ID tenant ID}/v2.0(t.ex.https://login.microsoftonline.com/82B2EBAE-5864-4C9F-8F78-40CB172BC7E1/v2.0), där du lägger till Microsoft Entra ID tenant ID. Du kan möjligtvis lägga till flera issuers och därmed lita på flera Azure tenants. Eller du kan använda wildcard*utan något annat för att acceptera alla issuers, den accepterade issuer läggs till iauth_method_issuerclaim.
Läs claims från access token
Om du vill läsa claims från access token behöver du lägga till en Microsoft Entra ID app till för en resource (API). Där den första Microsoft Entra ID appen är för en client.
1 - I Azure Portal
- Skapa resource Microsoft Entra ID appen
- Exponera ett scope från resource appen och ge client appen resource app scope
2 - Gå sedan till FoxIDs Control Client
- Välj show advanced
- Välj edit issuer
- Lägg till access token issuer
https://sts.windows.net/{Microsoft Entra ID tenant ID}/(t.ex.https://sts.windows.net/82B2EBAE-5864-4C9F-8F78-40CB172BC7E1/), där du lägger till Microsoft Entra ID tenant ID - Lägg till resource app scope som ett scope i FoxIDs autentiseringsmetod klienten
- Läs claims från access token genom att inte välja use claims from ID token
Därmed utfärdas access token av samma OP (IdP) och accepteras därför.
App roles
Om du konfigurerar App roles på Microsoft Entra ID appen under App roles fliken.
Rollerna returneras i roles claim i ID token för användare som tilldelats rollen.
Om du läser claims från access token måste rollerna definieras i Microsoft Entra ID appen för en resource (API).
I FoxIDs Control Client
- Rollerna returneras i en
rolesclaim som kan ändras till enroleclaim (utan s) genom att lägga till en map claims transformation. Skrivrolei new claim, sätt action till replace claim och skrivrolesi select claim - Lägg till
roleclaim i de claims som överförs från autentiseringsmetoden till applikationsregistreringarna
Kom ihåg att även lägga till
roleclaim i applikationsregistreringen för att den ska utfärdas till applikationen.