OpenID Connect autentiseringsmetod
FoxIDs OpenID Connect autentiseringsmetod som litar på en extern OpenID Provider (OP) / Identity Provider (IdP).
Det är möjligt att konfigurera flera OpenID Connect autentiseringsmetoder som sedan kan väljas av applikationsregistreringar.
How to guides:
- Anslut IdentityServer
- Anslut Microsoft Entra ID
- Anslut Azure AD B2C
- Anslut Amazon Cognito
- Anslut Google
- Anslut Facebook
- Anslut Signicat
- Anslut Nets eID Broker
- Anslut två FoxIDs miljöer i samma eller olika tenants med OpenID Connect
- Anslut två FoxIDs miljöer i samma tenant med en Environment Link
Det rekommenderas att använda OpenID Connect Authorization Code flow med PKCE, eftersom det anses vara ett säkert flöde.
Configuration
Så här konfigurerar du en extern OpenID Provider (OP) som authority.
Följande skärmbild visar grundläggande konfiguration av FoxIDs OpenID Connect autentiseringsmetod i FoxIDs Control Client.
Fler konfigurationsalternativ blir tillgängliga genom att klicka
Show advanced.
FoxIDs anropar automatiskt OpenID Configuration endpoint (.well-known/openid-configuration) vid skapande. Du kan se den tillagda konfigurationen genom att öppna autentiseringsmetoden igen.
FoxIDs läser automatiskt framtida uppdateringar. Om endpointen blir otillgänglig under en period stoppar FoxIDs den automatiska uppdateringsprocessen. Den kan startas om genom att uppdatera autentiseringsmetoden i FoxIDs Control Client eller API.
FoxIDs Control Client stöder endast att skapa automatiskt uppdaterade autentiseringsmetoder via OpenID Configuration endpoint. FoxIDs Control API stöder både automatiskt och manuellt uppdaterade autentiseringsmetoder. I manuell kan du ange alla värden och OpenID Configuration endpoint (
.well-known/openid-configuration) kommer inte att anropas.
Som standard är autentiseringsmetoden konfigurerad för Authorization Code Flow, att använda PKCE och läsa claims från det externa access token. Dessa inställningar kan ändras.
Default client authentication method är client secret post och kan ändras till client secret basic eller private key JWT. Client authentication method none stöds med PKCE.
Scopes som FoxIDs autentiseringsmetod ska skicka i requesten till den externa OP kan konfigureras, t.ex. profile eller email.
Autentiseringsmetoden vidarebefordrar endast default claims och claims som lagts till i listan Forward claims till applikationsregistreringarna. Alla claims vidarebefordras om du lägger till * (default) i listan Forward claims.
Default överförda claims är sub, sid, acr och amr.
Du kan ändra claims och utföra claim tasks med claim transforms och claim tasks.
FoxIDs använder som standard parentesanslutningsmönstret .../(auth-method)/.... Om det inte stöds av den externa OP (t.ex. Microsoft Entra ID) kan mönstret ändras till tilde-anslutningsmönstret .../~auth-method~/... eller punkt-anslutningsmönstret .../.auth-method./....
Om det behövs kan en anpassad client ID konfigureras, annars används autentiseringsmetodens namn som client ID.
Valfritt kan issuer ändras. Annars läses den från OpenID Configuration endpoint. Dessutom kan flera issuers konfigureras för att lita på tokens från flera issuers signerade med samma nyckel (ofta använt med Microsoft Entra ID).