OAuth en OIDC SSO voor cloudtoepassingen

OpenID Connect (OIDC) is een authenticatielaag die is gebouwd op OAuth 2.0, een autorisatieframework. OIDC is een veelgebruikt authenticatieprotocol dat wordt gebruikt door identiteitsproviders (IdP) om gebruikers te authenticeren die toegang hebben tot externe serviceproviders (SP), zonder dat ze hun inloggegevens elders opnieuw hoeven te delen.

OAuth, een autorisatieprotocol dat toepassingen toegang geeft tot bronnen van andere toepassingen van derden, kan ook worden gebruikt om gebruikers te authenticeren. Met eenvoudige configuratiestappen ondersteunt ADSelfService Plus SSO voor alle OAuth en OIDC compatibele cloudtoepassingen.

Hoe werken OAuth en OIDC protocollen?

Aangezien OIDC is gebouwd als een authenticatielaag bovenop de OAuth 2.0, functioneren beide protocollen vrij gelijkaardig aan elkaar met kleine afwijkingen tegen het einde van het codestroomproces.

Wanneer een gebruiker in OIDC toegang wil tot een applicatie of SP, gaat de gebruiker in eerste instantie naar de inlogpagina van de IdP voor authenticatie en communiceert het bepaalde parameters, zoals de omleidings-URI, het antwoordtype en het bereik. Nadat de gebruiker zijn identiteit heeft geauthentiseerd met de IdP, wordt deze teruggeleid naar de toepassing.

Tegelijkertijd geeft de IdP op het beveiligde achterkanaal van de server een autorisatiecode door aan de SP, die later wordt ingewisseld voor het toegangstoken en ID token. De ID token helpt de SP om de identiteit te begrijpen van de gebruiker die zojuist is ingelogd. De toegangstoken wordt gebruikt als de clienttoepassing toegang moet hebben tot meer details over de gebruiker, zoals bijvoorbeeld hun profielfoto.

Het onderstaande stroomdiagram geeft een beter inzicht in de SP-geïnitieerde SSO-stroom voor OIDC.

Figuur 1: SP-geïnitieerde SSO stroom voor OIDC

De OAuth 2.0 autorisatiecodestroom werkt identiek aan de hierboven genoemde codestroom van OIDC. In de laatste stap ontvangt de SP echter de toegangstoken en het vernieuwingstoken van de IdP via het achterkanaal in plaats van de ID token. Het vernieuwingstoken wordt gebruikt om een nieuw toegangstoken te krijgen zodra het is verlopen zonder dat de gebruiker zich opnieuw hoeft te authenticeren met de IdP.

OAuth en OIDC SSO met behulp van ADSelfService Plus

ADSelfService Plus biedt een reeks veelgebruikte OAuth- en OIDC-toepassingen die vooraf zijn geïntegreerd om de configuratie van SSO eenvoudig te maken. Beheerders kunnen ook elke aangepaste OAuth- of OIDC-compatibele toepassing, die gebruikers vervolgens kunnen openen met behulp van SSO. Het biedt gedetailleerd beleid voor beheerders om eenvoudig gebruikerstoegang tot applicaties te configureren. Opties voor het configureren van IdP details, zoals URL's voor autorisatie-eindpunten, token-eindpunt-URL's en URL's van gebruikerseindpunten, worden geboden voor zowel aangepaste als vooraf geïntegreerde toepassingen.

Er zijn twee manieren waarop gebruikers zich kunnen aanmelden bij een applicatie of een service met behulp van de OAuth en OIDC SSO van ADSelfService Plus, zoals hieronder wordt uitgelegd:

Door IdP geïnitieerde SSO stroom

• Met IdP geïnitieerde SSO,verifiëren gebruikers zich eerst en loggen ze in op ADSelfService Plus, wat de IdP is.
• Eenmaal ingelogd, klikt de gebruiker op de gewenste applicatie uit de app-catalogus van ADSelfService Plus.
• De betreffende applicatie wordt dan geopend in een nieuw tabblad en de gebruiker wordt automatisch ingelogd zonder dat hij zich opnieuw hoeft te verifiëren.

SP-geïnitieerde SSO stroom

• Met SP-geïnitieerde SSO probeert de gebruiker in eerste instantie toegang te krijgen tot de vereiste toepassing door naar de start- of inlogpagina van de toepassing te gaan.
• De gebruiker wordt vervolgens doorgestuurd naar ADSelfService Plus en krijgt authenticatiefactoren te zien zoals geconfigureerd door de beheerder.
• Na succesvolle authenticatie in ADSelfService Plus wordt de gebruiker teruggeleid naar de toepassing en krijgt deze toegang.

Een gebruiksvriendelijke console voor probleemloze SSO configuratie

Vooraf geïntegreerde toepassingen configureren

1

 

Handig gecategoriseerd

Kies uit een reeks vooraf geïntegreerde toepassingen die voor het gemak zijn gecategoriseerd.

Figuur 2: Vooraf geïntegreerde OIDC toepassingen in ADSelfService Plus

1. Handig gecategoriseerd: Kies uit een reeks vooraf geïntegreerde toepassingen die voor het gemak zijn gecategoriseerd.

Geavanceerde IdP-gegevens configureren

1

 

Diepgaande configuratie

Configureer hier IdP-gegevens, zoals client-ID, uitgever, URL van het autorisatie-eindpunt en URL van het gebruikerseindpunt.

Figuur 3: OIDC SSO configuratie in ADSelfService Plus

1. Diepgaande configuratie: Configureer geavanceerde IdP-details, zoals URL's voor autorisatie-eindpunten, token-eindpunt-URL's en URL's van gebruikerseindpunten door op deze knop te klikken.

Aangepaste toepassingen configureren

1

 

Aangepaste app configuratie

Kies uit veelgebruikte protocollen, waaronder SAML, OAuth en OIDC SSO, om SSO te bieden voor toepassingen op maat.

Figuur 4: Aangepaste app SSO configuratie in ADSelfService Plus

1. Aangepaste appconfiguratie: Kies uit veelgebruikte protocollen, waaronder SAML, OAuth en OIDC SSO, om SSO te bieden voor toepassingen op maat.

Voordelen van OAuth en OIDC SSO in ADSelfService Plus

• Ondersteuning voor elke OAuth/OIDC-toepassing: Bied SSO ondersteuning voor elke OAuth/OIDC toepassing. Configureer SSO eenvoudig uit een pool van vooraf geïntegreerde applicaties of voeg aangepaste applicaties toe.
• Verbeterde beveiliging: Implementeer MFA voor SSO gebaseerde applicatie inloggegevens en voeg een extra beveiligingslaag toe aan gebruikersnamen en wachtwoorden.
• Toegang met één klik: Help de gebruikerservaring te verbeteren en elimineer wachtwoordmoeheid door naadloze, één klik toegang tot applicaties te bieden.
• Verminderde informatietechnologie werklast: Help informatietechnologie beheerders om de wachtwoordgerelateerde werklast van helpdesks te verminderen en identiteiten in meerdere services beter te beheren.