Konfigurieren Sie OAuth oder OpenID Connect für benutzerdefinierte Anwendungen

ADSelfService Plus unterstützt SSO-Anmeldungen für benutzerdefinierte Unternehmensanwendungen, die OAuth oder OpenID Connect aktivieren. In diesem Dokument erhalten Sie die Schritte zur Konfiguration von OpenID Connect-basiertem SSO für benutzerdefinierte Anwendungen.

Schritte zum Erstellen einer benutzerdefinierten Anwendung in ADSelfService Plus

Voraussetzungen

  1. Melden Sie sich beim Service Provider (SP) mit Administrator-Anmeldedaten an. Der SP ist die benutzerdefinierte Anwendung, für die Sie OpenID Connect konfigurieren möchten.
  2. Kopieren Sie die Autorisierungs-Redirect- oder Callback-URL(s) vom SP.

Konfigurationsschritte

  1. Melden Sie sich bei ADSelfService Plus mit Administrator-Anmeldedaten an.
  2. Navigieren Sie zu Konfiguration > Self-Service > Passwort-Synchronisation/Single Sign-On.
  3. Klicken Sie auf Anwendung hinzufügen.
  4. Klicken Sie auf die Option Benutzerdefinierte Anwendung im linken Bereich.
  5. Geben Sie einen geeigneten Namen und eine Beschreibung
  6. für die Anwendung ein. Geben Sie den Domainnamen für Ihr Anwendungskonto ein. Zum Beispiel, wenn Ihr Benutzernamejohndoe@thinktodaytech.com lautet, dann ist thinktodaytech.com
  7. Ihr Domainname. Wählen Sie die Richtlinien aus, die Sie aus dem Richtlinien zuweisen
  8. Dropdown-Menü zuweisen möchten. Sie können auch ein kleines oder großes Symbol
  9. der Anwendung hinzufügen, falls gewünscht. Wählen Sie unter dem SSO-Tab.
  10. Single Sign-On aktivieren Aus dem Auswahl der Anmeldemethode Dropdown wählen Sie.
  11. Single Sign-On aktivieren OAuth/OpenID Connect Auswahl der Anmeldemethode Unterstützter SSO-Fluss SP-Initiated oder.
    12. IdP-InitiatedHinweis: Es wird empfohlen, das Support-Team Ihrer SP-Anwendung zu kontaktieren und die unterstützten SSO-Flüsse zu überprüfen, bevor Sie den unterstützten SSO-Fluss auswählen.

    Wenn Sie den SP-Initiated-Fluss auswählen

    Auswahl des SP-Initiated Flows im Drop-down-Menü „Supported SSO Flow“.

    Abb. 1: Auswahl des SP-Initiated-Flusses aus dem Dropdown „Unterstützter SSO-Fluss“, um zu definieren, wie die SSO-Anfrage vom Service Provider initiiert wird.

    1. für die Anwendung ein. URL der Anmeldeseite des Service Providers im SP Login Initiate URL Feld.
    IdP-InitiatedHinweis: Manche Apps erfordern, dass die Anmeldung auf deren Login-Seite beginnt, was als SP-initiierte Anmeldung bekannt ist. Benutzer werden zuerst auf die Login-Seite der App weitergeleitet, die im SP Login Initiate URL Feld angegeben ist, danach leitet der SP sie zur Authentifizierung an ADSelfService Plus, den Identity Provider (IdP), weiter.

    Wenn Sie den IdP-Initiated-Fluss auswählen

    Auswahl des IdP-Initiated Flows im Drop-down-Menü „Supported SSO Flow“.

    Abb. 2: Auswahl des IdP-Initiated-Flusses aus dem Dropdown „Unterstützter SSO-Fluss“, um zu definieren, wie die SSO-Anfrage vom Identity Provider initiiert wird.

    • Geben Sie im IdP Login Initiate URL Feld die URL der Anwendung ein, URL an die der IdP das id_tokensendet, wodurch der SP den Anmeldevorgang abschließen kann. Sobald diese URL konfiguriert ist, können sich Benutzer anmelden, indem sie im ADSelfService Plus Nutzerportal auf diese Anwendung klicken.
  12. Geben Sie im Geben Sie im Feld SSO Redirect URL(s) alle verfügbaren SP-Initiated Autorisierungs-Redirect- und Callback-URLs ein, die Sie in Schritt 2
  13. Single Sign-On aktivieren der Voraussetzungen vom SP erhalten haben. Die URL(s) finden Sie auf der OAuth/OIDC SSO-Konfigurationsseite des SP. Wählen Sie im Dropdown-Menü

    14. Auswahl eines Client-Authentifizierungsmodus zur Authentifizierung der Zugriffstoken-Anfrage des SP.

    Client-Authentifizierung

    • die Client-Authentifizierungsmethode gemäß den Anforderungen des Service Providers (SP) aus. Dieser Modus bestimmt, wie der IdP die Access-Token-Anfrage des SP authentifiziert. Abb. 3: Auswahl des geeigneten Client-Authentifizierungsmodus aus dem Dropdown, um zu definieren, wie der IdP die Access-Token-Anfrage des SP authentifiziert.
      • Client Secret: Ein einheitlicher Modus, der folgende Methoden umfasst:
      • Client Secret Basic: Der SP kodiert client_id und client_secret in Base64 und fügt diese im Autorisierungsheader der Access-Token-Anfrage ein.
      • Client Secret Post: Der SP fügt client_id und client_secret im Nachrichtenkörper während der Access-Token-Anfrage hinzu.

      Client Secret JWT:

      Auswahl des Client Secret Authentifizierungsmodus zur Authentifizierung der Zugriffstoken-Anfrage des SP.

      Der SP erzeugt ein JWT (JSON Web Token) unter Verwendung des client_secret zur digitalen Signatur der Anfrage.

    • Der IdP validiert die Anmeldedaten oder Signatur zur Autorisierung der Anfrage. Abb. 4: Auswahl des Client Secret-Authentifizierungsmodus.
    • Private Key JWT:Der SP stellt eine JWKS (JSON Web Key Set) URL bereit, die seinen öffentlichen Schlüssel enthält. Während der Access-Token-Anfragen verwendet der SP seinen privaten Schlüssel zum Signieren des JWT. Der IdP überprüft diese Signatur unter Verwendung des öffentlichen Schlüssels, der von der JWKS-URL abgerufen wird. Keine : Es findet keine Client-Authentifizierung statt, was diese Option für Single-Page-Anwendungen geeignet macht, die Client-Secrets nicht sicher speichern können. Wenn diese Option gewählt wird, wird PKCE (Proof Key for Code Exchange) automatisch aktiviert

      • Auswahl des None Client-Authentifizierungsmodus zur Authentifizierung der Zugriffstoken-Anfrage des SP.

      und wird für zusätzliche Sicherheit obligatorisch. Stellen Sie sicher, dass Ihre Client-Anwendung PKCE unterstützt, um die Benutzer-Authentifizierung erfolgreich abzuschließen.

  14. Abb. 5: Auswahl des Modus „Keine“ für die Client-Authentifizierung. Aktivieren Sie das Kontrollkästchen PKCE für Verifizierung erzwingen,

    15. Erzwingen von PKCE zur Verifizierung im Client Secret/Private Key JWT-Modus.

    um die Sicherheit während des Verifizierungsprozesses der Token-Anfrage zu erhöhen. Diese Option gilt für alle Client-Authentifizierungsmodi außer „Keine“.

  15. Abb. 6: Erzwingen von PKCE zur Erhöhung der Sicherheit beim Verifizierungsprozess im Modus Client Secret/Private Key JWT. Bei Auswahl von Private Key JWT als Client-Authentifizierungsmethode benötigt ADSelfService Plus die JWKS URL

    16. Auswahl des Private Key JWT Client-Authentifizierungsmodus zur Authentifizierung der Zugriffstoken-Anfrage des SP.

    Informationen vom SP, um den öffentlichen Schlüssel zu erhalten, der dann zur Verifizierung der Signatur verwendet wird.

  16. Single Sign-On aktivieren Abb. 7: Auswahl des Private Key JWT-Client-Authentifizierungsmodus. Wählen Sie im Dropdown-Menü Schlüsselalgorithmus SP-Initiated den passenden Algorithmus:.

    17. IdP-InitiatedHS256, RS256, RS384, Abb. 7: Auswahl des Private Key JWT-Client-Authentifizierungsmodus. RS512 id_token SP-Initiated : DerSchlüsselalgorithmus ist der Algorithmus, der für die Signatur von Tokens wie zum Beispiel dem

    Auswahl eines Schlüssels zur Signierung des Zugriffstokens.

    access_token

    verwendet wird. Die Verwendung eines Algorithmus zur Signierung von Tokens gewährleistet die Integrität und Authentizität des Tokens. Abb. 8: Auswahl des passenden Schlüsselalgorithmus (HS256, RS256, RS384 oder RS512) aus dem Dropdown, um zu definieren, wie der Access-Token signiert wird. HS256: Ein symmetrischer Algorithmus, der ein gemeinsames Geheimnis verwendet (d.h.

    client_secret, das bei der Erstellung der benutzerdefinierten Anwendung im IdP generiert wurde), zum Signieren und Validieren des Tokens anstelle eines öffentlichen Schlüsselpaares.

    RS256: RSA-Signatur mit SHA-256. Dies ist ein asymmetrischer Algorithmus, der ein öffentliches oder privates Schlüsselpaar verwendet, das vom IdP generiert und verwaltet wird (der IdP verwendet den privaten Schlüssel zum Signieren, und die Anwendung verwendet den öffentlichen Schlüssel zur Validierung der Signatur).

    RS384: Wie RS256, verwendet jedoch den SHA-384-Hashing-Algorithmus zur Erstellung der RSA-Signatur.

  17. RS512: Wie RS256, verwendet jedoch den SHA-512-Hashing-Algorithmus zur Erstellung der RSA-Signatur. Das Feld

    18. IdP-Initiated: Wie RS256, verwendet jedoch den SHA-512-Hashing-Algorithmus zur Erstellung der RSA-Signatur. Bezeichnet die Zeitbeschränkung, für die der vom IdP gesendete Token für den SP zugänglich ist.

  18. Klicken Sie auf die Refresh Token erlauben Kontrollkästchen, um dem SP zu erlauben, Zugriffstoken zu erhalten, ohne dass der Benutzer sich jedes Mal neu authentifizieren muss.
  19. Klicken Sie auf Erweiterte Konfiguration In der oberen rechten Ecke.
  20. Unter OAuth/OpenID Connect Claim-Attribute-Konfiguration, ordnen Sie die Attribute nach Ihren Anforderungen zu.

    21. Zuordnung von Claim-Attributen unter OAuth/OpenID Connect-Konfiguration.

    Abb. 9: Zuordnung der Benutzerattribute unter OAuth/OpenID Connect Claim-Attribut-Konfiguration.

  21. Klicken Sie auf Benutzerdefinierte Anwendung erstellen.

    22. Die Benutzer, die unter die von Ihnen gewählten Richtlinien in Schritt 7 fallen, können sich jetzt über ihr Benutzerportal mithilfe von SSO bei der benutzerdefinierten Anwendung anmelden.

Zurück nach oben

Danke!

Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unser technisches Support-Team wird Ihnen schnellstmöglich helfen.

 

Benötigen Sie technische Unterstützung?

  • Geben Sie Ihre E-Mail-ID ein
  • Mit Experten sprechen
  •  
     
  •  
  • Durch Klicken auf 'Mit Experten sprechen' stimmen Sie der Verarbeitung personenbezogener Daten gemäß der Datenschutzerklärung.

Finden Sie nicht, wonach Sie suchen?

  •  

    Besuchen Sie unsere Community

    Stellen Sie Ihre Fragen im Forum.

     
  •  

    Zusätzliche Ressourcen anfordern

    Senden Sie uns Ihre Anforderungen.

     
  •  

    Benötigen Sie Unterstützung bei der Implementierung?

    Probieren Sie OnboardPro

     

Copyright © 2026, ZOHO Corp. Alle Rechte vorbehalten.