Anslut Nets eID Broker med OpenID Connect

FoxIDs kan anslutas till Nets eID Broker med OpenID Connect och därmed autentisera slutanvändare med MitID och andra legitimationer som stöds av Nets eID Broker.

Hur du konfigurerar Nets eID Broker i

• testmiljö med Nets eID Broker test
• produktionsmiljö med Nets eID Broker admin portal

Det är möjligt att bara begära CPR nummer en gång vid första inloggningen och inte vid senare inloggningar.

Du kan testa Nets eID Broker test inloggning med online web app sample (sample docs) genom att klicka Log in och sedan Nets eID Broker TEST. Se Nets eID Broker sample konfigurationen i FoxIDs Control: https://control.foxids.com/test-corp Få read åtkomst med användaren reader@foxids.com och lösenord gEh#V6kSw och välj sedan Production miljön och fliken Authentication.

Konfigurera Nets eID Broker test som OpenID Provider (OP)

Den här guiden beskriver hur du ansluter en FoxIDs autentiseringsmetod till Nets eID Broker test i testmiljön. Alla redirect URI:er accepteras och därför kan alla klienter ansluta utan föregående registrering.

Den här anslutningen använder OpenID Connect Authorization Code flow med PKCE, vilket är det rekommenderade OpenID Connect flowet.

Skapa en OpenID Connect autentiseringsmetod i FoxIDs Control Client

1. Lägg till Name
2. Lägg till Nets eID Broker test authority https://pp.netseidbroker.dk/op i fältet Authority
3. I Scopes listan lägg till mitid för att använda MitID och valfritt ssn scope för att begära CPR nummer (överväg begär CPR nummer bara en gång)
4. Välj Show advanced
5. Lägg valfritt till en Additionally parameter med namnet idp_values och t.ex. värdet mitid för att visa MitID IdP eller t.ex. värdet mitid_erhverv för att visa MitID Erhverv IdP.
6. Lägg till Nets eID Broker test secret rnlguc7CM/wmGSti4KCgCkWBQnfslYr0lMDZeIFsCJweROTROy2ajEigEaPQFl76Py6AVWnhYofl/0oiSAgdtg== i fältet Client secret
7. Lägg till Nets eID Broker test client id 0a775a87-878c-4b83-abe3-ee29c720c3e7 i fältet Optional customer SP client ID
8. Välj Read claims from the UserInfo Endpoint instead of the access token or ID token
9. Klicka Create

Det var allt.

Den nya autentiseringsmetoden kan nu väljas som en tillåten autentiseringsmetod i en applikationsregistrering. Applikationen kan läsa claims från autentiseringsmetoden. Du kan valfritt lägga till en * i applikationsregistreringen Issue claims list för att utfärda alla claims till din applikation. Eller definiera ett scope för att utfärda claims.

Konfigurera Nets eID Broker som OpenID Provider (OP)

Den här guiden beskriver hur du ansluter en FoxIDs autentiseringsmetod till Nets eID Broker i produktionsmiljön.

Du får åtkomst till Nets eID Broker admin portal av Nets. Nets eID Broker dokumentationen.

Den här anslutningen använder OpenID Connect Authorization Code flow med PKCE, vilket är det rekommenderade OpenID Connect flowet.

1 - Börja med att skapa en API client i Nets eID Broker admin portal

1. Gå till Services & Clients
2. Välj Service Provider
3. Skapa eller välj en Service
4. Klicka Add new client
5. Lägg till ett Client name
6. Välj Web
7. Klicka Create
8. Kopiera Client ID
9. Klicka Create new Client Secret
10. Välj Based on password
11. Lägg till ett namn för den nya client secret
12. Klicka Generate on server
13. Kopiera Secret
14. Klicka IDP fliken
15. Välj MitID och klicka Add to pre-selected login options, valfritt välj andra
16. Klicka Advanced fliken
17. Sätt PKCE till Active

2 - Skapa sedan en OpenID Connect autentiseringsmetod i FoxIDs Control Client

1. Lägg till Name
2. Lägg till Nets eID Broker authority https://netseidbroker.dk/op i fältet Authority
3. Kopiera de två URL:erna: Redirect URL och Post logout redirect URL
4. I Scopes listan lägg till mitid för att använda MitID och valfritt ssn scope för att begära CPR nummer (överväg begär CPR nummer bara en gång)
5. Välj Show advanced
6. Lägg valfritt till en Additionally parameter med namnet idp_values och t.ex. värdet mitid för att visa MitID IdP eller t.ex. värdet mitid_erhverv för att visa MitID Erhverv IdP.
7. Lägg till Nets eID Broker secret i Client secret fältet
8. Lägg till Nets eID Broker client id i Optional customer SP client ID fältet
9. Välj Read claims from the UserInfo Endpoint instead of the access token or ID token
10. Klicka Create

3 - Gå tillbaka till Nets eID Broker admin portal

1. Klicka Endpoints fliken
2. Lägg till de två URL:erna från FoxIDs autentiseringsmetod klienten: Redirect URL och Post logout redirect URL i fälten Login redirects och Logout redirects.

Det var allt.

Den nya autentiseringsmetoden kan nu väljas som en tillåten autentiseringsmetod i en applikationsregistrering. Applikationen kan läsa claims från autentiseringsmetoden. Du kan valfritt lägga till en * i applikationsregistreringen Issue claims list för att utfärda alla claims till din applikation. Eller definiera ett scope för att utfärda claims.

Begär CPR nummer bara en gång

Det är möjligt att låta FoxIDs spara användarens CPR nummer på externa användare. Då blir användarna bara ombedda om CPR första gången de loggar in.

För att få detta att ske konfigurerar vi Nets eID Broker autentiseringsmetoden att logga in utan att begära CPR nummer och skapar en profil som begär CPR nummer. Vid första inloggningen initierar FoxIDs därefter autentisering med profilen för att få CPR numret och sparar användarens sub till CPR nummer relation i en claim på en extern användare.

I Nets eID Broker autentiseringsmetoden.

A) Skapa först en profil

1. Inkludera endast mitid scope i Scopes listan
2. Välj Show advanced
3. Välj fliken Profiles
4. Klicka Add Profile
5. Lägg till Name t.ex. Request CPR
6. Lägg till ssn i Scopes listan
7. Klicka Update - Viktigt innan du fortsätter!

b) Börja sedan skapa externa användare

1. Välj fliken Create External Users
2. Lägg till sub i fältet Link claim type
3. Välj Yes i Optional create/provision external users automatically
4. Välj Yes i Overwrite received claims

c) Sätt upp claim transforms

1. I sektionen Create user claim transforms på fliken Create External Users
2. Lägg till claims mitid.has_cpr och dk.cpr i Include claims from authentication method
3. Klicka Add claim transform och klicka Match claim
   1. I claim transformation
   2. Lägg till _local:cpr_exist i New claim fältet
   3. Välj Add claim, if not match i Action
   4. Lägg till dk.cpr i Select claim fältet
   5. Lägg till false i New value fältet
4. Klicka Add claim transform och klicka Concatenate
   1. I claim transformation
   2. Lägg till _local:request_cpr i New claim fältet
   3. Välj Add claim i Action
   4. Lägg till mitid.has_cpr och _local:cpr_exist i Concatenate claims listan
   5. Lägg till [{0},{1}] i Concatenate format string fältet
5. Klicka Add claim task och klicka Match claim and value and start authentication
   1. I claim transformation
   2. Välj If match i Action
   3. Lägg till _local:request_cpr i Select claim fältet
   4. Lägg till [true,false] i Match value fältet
   5. Välj denna autentiseringsmetods Request CPR profil i Authentication method
6. Klicka Add claim transform och klicka Match claim
   1. I claim transformation
   2. Välj Remove claim i Action
   3. Lägg till mitid.has_cpr i Remove claim fältet
7. Klicka Update

Scope och claims

Du kan valfritt skapa ett scope i applikationsregistreringen med Nets eID Broker claims som Voluntary claims. Scopet kan sedan användas av en OpenID Connect client eller en annan FoxIDs autentiseringsmetod som fungerar som en OpenID Connect client.

Namnet på scopet kan t.ex. vara nets_eid_broker

De vanligaste Nets eID Broker claims:

• idp
• idp_identity_id
• loa
• mitid.uuid
• mitid.has_cpr
• dk.cpr
• mitid.age
• mitid.date_of_birth
• mitid.identity_name
• mitid.transaction_id