Config
- Globale config:
- SFO endpoint + saml cert
- mapping acr waardes naar loa
- config per instelling
- entra client-id
- onze client-id en secret
- allownlist met schachome
Grove werking:
- Er komt een verzoek (POST) binnen vanuit entra, met een
id_token_hint
- Valideer id_token uit de id_token_hint
- Zoek of ververs het access token
- Roep de graph api aan om de gebruiker info op te halen
- Bouw het nameid van de gebruiker op uit de opgehaalde info
- Redirect de gebruiker met een SFO verzoek naar het SFO endpoint van SA-GW
- After the SAML response bouwen we een id_token en sturen een ge-signed id token terug
- Entra valideert het token en laat de gebruiker binnen
Kaders
Userinfo en introspect endpoint kijken niet nodig.
Config
Grove werking:
id_token_hintKaders
Userinfo en introspect endpoint kijken niet nodig.