OIDC QoA Spezifikation
Bisher mussten die Applikationsowner die genauen Authentifizierungsmethoden (Passwort, mTAN, AuthApp, Vasco, Kerberos, Smartcard, Mobile ID, FIDO Sicherheitsschlüssel) auswählen, welche der Benutzer für den Zugriff auf die Anwendung verwenden konnten.Mit dem neuen QoA Konzept kann die entsprechende QoA Klasse direkt im OIDC spezifizieren werden, damit eröffnet sich die Möglichkeit dem Benutzer alle Authentifizierungsmethoden, die mindestens diesem QoA Level entsprechen, zu präsentieren.
Die Informationen betreffend dem QoA Konzept finden Sie unter: Qualität der Authentifizierung (QoA)
eIAM "AuthnContextClasses"
Dies sind die neuen "AuthnContextClasses" um eine Authentifizierung eines Benutzers anzufordern:| Authentication Level | AuthnContextClasses |
|---|---|
| QoA10 | urn:qoa.eiam.admin.ch:names:tc:ac:classes:10 |
| QoA20 | urn:qoa.eiam.admin.ch:names:tc:ac:classes:20 |
| QoA30 | urn:qoa.eiam.admin.ch:names:tc:ac:classes:30 |
| QoA40 | urn:qoa.eiam.admin.ch:names:tc:ac:classes:40 |
| QoA50 | urn:qoa.eiam.admin.ch:names:tc:ac:classes:50 |
| QoA51 | urn:qoa.eiam.admin.ch:names:tc:ac:classes:51 |
| QoA60 | urn:qoa.eiam.admin.ch:names:tc:ac:classes:60 |
Beispiel einer OIDC Authentifizierungsanfrage "acr_values"
Sie können einen bestimmten QoA mit dem Parameter acr_values in der Authentifizierungsanfrage anfordern. Der Wert des Parameters muss einer der QoA urn sein (z.B. urn:qoa.eiam.admin.ch:names:tc:ac:classes:40), der urn muss per url decodiert werden. Wenn Sie einen ungültigen acr-Wert angeben, schlägt die Authentifizierung fehl.Diese Parameter müssen url-codiert sein
| Paramteter | Bemerkungen |
|---|---|
| response_type | Muss immer code sein. Da wir nur den Autorisierungscode code flow unterstützen |
| scope | Scope ist immer openid. |
| client_id | Wird von eIAM während der Integration der Anwendung bereitgestellt |
| redirect_uri | Alle Redirect-URLs, die von der Anwendung verwendet werden, müssen an eIAM übermittelt werden. Die URL, die mit diesem Parameter angegeben wird, muss uns bekannt sein, andernfalls wird die Anfrage fehlschlagen. |
| acr_values | Dieser Parameter wird verwendet, um die QoA abzufragen, die für den Zugriff auf die Anwendung benötigt wird. |
Beispiel der "OIDC-Response"
Wir betrachten den angeforderten QoA Level als Minimum. Wenn der Benutzer einen höheren Level erreicht, akzeptieren wir diesen und informieren die Anwendung in der Antwort.