aduneo / aduneoclientfedid Goto Github PK

ClientFedID propose actuellement d’échanger l’ID Token mais Keycloak n’a pas l’air d’apprécier cette option car il n’accepte qu’un access token en entrée :

Token exchange failed: http service error: status code 400, {"error":"invalid_token","error_description":"Invalid token type, must be access token"}

Bonjour,

Dans Forgerock AM, on a la possibilité d'activer à la fois le chiffrement et la signature sur une assertion pour un SP :

En configurant clientFed ID en tant que SP et Forgerock AM en tant qu'IDP et en activant l'option Assertion Encryption pour le SP dans Forgerock AM, on a le flux suivant :

• Log In sur ClientFedID avec la configuration suivante :

• Send to IDP --> Renvoi bien vers la page d'authentification de Forgerock

• Authentification d'un utilisateurs --> Renvoi sur le clientFedID

• Au retour sur clientFedID on a un affichage Failed To decrypt :

Le certificat pour le chiffrement et la signature est le même dans les métadonnées de Forgerock AM et clientFedID. (version 3 SHA 256, RSA 4096 bits)

La configuration côté ClientFedID ne peut contenir qu'un seul certificat pour l'IDP :

Et dans la configuration en tant que SP, il y a les configurations suivantes :

Suite à une authentification OIDC, on peut enchainer avec un Token Exchange. Après avoir cliqué sur Exchange ID Token, on a un formulaire prérempli et une requête prête à être envoyée mais qui ne fonctionnera pas car le champ Secret est vide

Quand on colle la valeur de l’access token pour userinfo, ça peut potentiellement rajouter un espace ou une tabulation à la fin du champ Subject Token. Et lorsqu’on exécute la requête sans retirer ces caractères à la fin du champ, Keycloak refuse la requête :

Token exchange failed: http service error: status code 400, {"error":"invalid_token","error_description":"Invalid token"}

Ref : mail outlook