Vejledning til FirstAgenda Management integration med OAuth2 og OpenID Connect

Nedenstående vejledning beskriver, hvorledes FirstAgenda Management kan integreres til OAuth2 og OpenID connect.

Integration med OAuth2/OpenID Connect

FirstAgenda Management kan integrere til alle OAuth2/OpenID Connect servere. OAuth2 benyttes ved integration til f.eks.:

  • Microsoft Active Directory
     
  • Microsoft 365
     
  • Auth0
     
  • Keycloak m.fl.

Hvis IAM/IDP supporterer OpenID Connect, kan løsningen benyttes til brugerstyring i FirstAgenda Management.
 

Forudsætninger

Der skal oprettes en klientprofil til FirstAgenda Management. FirstAgenda Management
skal have angivet klient-id’et i sin OAuth2 opsætning, samt en eventuel secret.

FirstAgenda Management anmoder om følgende scopes:

  • Openid
  • Profile
  • Email

Hvis roller skal komme fra IDP (anbefalet) vil FirstAgenda Management yderligere bede om følgende scope:

  • roles

Hvis gruppemedlemskaber i IDP skal mappe til gruppemedlemskaber i FirstAgenda Management vil systemet bede om følgende scope:

  • microprofile-jwt

Ovenstående kan sammenfattes til følgende claims:

  • name (brugerens fulde navn) (required)
     
  • email (required)
     
  • preferred_username (required)
     
  • roles (optional)
     
    • Administrator
       
    • CommitteeAdministrator
       
  • groups (optional)
     

Roller

FirstAgenda Management forventer at "Administrator"-rollen er composite, så den også repræsenterer CommitteeAdministrator.

Mulige roller

  • Administrator
     
    • Composite: CommitteeAdministrator
       
  • CommitteeAdministrator
     

Bemærk! Rollerne skal ligge i root af tokenet. Se eksempel længere nede i artiklen.

Bemærk! Hvis en bruger ikke har rollerne angivet, så får brugeren standardrettigheder i FirstAgenda Management. Dette betyder, at brugeren ikke kan noget med mindre, at der er givet en explicit rettighed.

 

Redirect URL / Reply URL

Redirect URL er blot roden af websitet. Hvis FirstAgenda Managements URL er https://eksempel.dk så er RedirectUrl:

  • https://eksempel.dk/*

Hvis systemet er specifikt omkring RedirectUrl så kan du benytte følgende:

  • https://eksempel.dk/OpenId/Callback/
     
  • https://eksempel.dk/Account/LogOn/

Du kan hente de eksakte URL’er for din installation under OpenId Connect indstillingerne i FirstAgenda Management.

 

Eksempel på token

Eksemplet kan variere afhængig af OAuth2 løsning; det vigtige er, at FirstAgenda Management claims er med, som de er angivet i eksemplet:

Eksempel på token
Tilbage