Stepup-eam-connector

[phavekes]

Config

• Globale config:
  • SFO endpoint + saml cert
  • mapping acr waardes naar loa
• config per instelling
  • entra client-id
  • onze client-id en secret
  • allownlist met schachome

Grove werking:

1. Er komt een verzoek (POST) binnen vanuit entra, met een id_token_hint
2. Valideer id_token uit de id_token_hint
3. Zoek of ververs het access token
4. Roep de graph api aan om de gebruiker info op te halen
5. Bouw het nameid van de gebruiker op uit de opgehaalde info
6. Redirect de gebruiker met een  SFO verzoek naar het SFO endpoint van SA-GW
7. After the SAML response bouwen we  een id_token en sturen een ge-signed id token terug
8. Entra valideert het token en laat de gebruiker binnen

Kaders

Userinfo en introspect endpoint kijken niet nodig.