OAuth i OpenID Connect SSO
 
 
 
Nawiguj do poprzedniego Poprzedni tematNastępny temat Nawiguj do następnego

OAuth i OpenID Connect SSO

Uwaga: SSO dla aplikacji jest dostępne tylko w przypadku Endpoint MFA.

OAuth to protokół autoryzacji, który umożliwia uwierzytelnionym dostęp do zasobów między serwerami a usługami bez udostępniania jakichkolwiek danych logowania. OpenID Connect to warstwa tożsamości na szczycie struktury OAuth.

Podstawowe komponenty działania OAuth i OpenID Connect to:

OAuth 2.0

W ten sposób OAuth umożliwia SSO:

  1. Kiedy użytkownik próbuje zalogować się do aplikacji, wysyła żądanie autoryzacji do ADSelfService Plus. Użytkownik jest następnie przekierowywany na stronę logowania ADSelfService Plus, gdzie wprowadza dane logowania.
  2. Po pomyślnej weryfikacji, kod autoryzacji jest wysyłany do aplikacji z ADSelfService Plus.
  3. Aplikacja wysyła kod autoryzacji z powrotem do ADSelfService Plus, aby otrzymać token dostępu oraz token odświeżenia. Token dostępu działa jak klucz ograniczony czasowo, umożliwiający użytkownikowi dostęp do chronionych zasobów aplikacji. Token odświeżenia to stały klucz, który można wykorzystać do żądania nowego tokena dostępu po wygaśnięciu starego.
  4. Teraz aplikacja wysyła żądanie informacji o użytkowniku wraz z tokenem dostępu jako dowód tożsamości do ADSelfService Plus. Odpowiedź na to żądanie zwraca szczegóły profilu użytkownika potrzebne do zakończenia procesu logowania.
  5. Po pomyślnej weryfikacji danych użytkownika po stronie aplikacji, użytkownik jest zalogowany do aplikacji.

OpenID Connect

OpenID Connect jest podobne do OAuth SSO, ale tutaj używany jest token ID. Token ID zawiera podpis ADSelfService Plus oraz dane użytkownika. Istnieją dwa możliwe scenariusze podczas korzystania z SSO OpenID Connect.

Zrozummy przepływ pracy w obu tych przypadkach.

Logowanie z inicjatywy aplikacji

  1. Użytkownik próbuje zalogować się do aplikacji. Aplikacja wysyła żądanie autoryzacji do ADSelfService Plus. Użytkownik jest przekierowywany na stronę logowania ADSelfService Plus.
  2. Użytkownik wprowadza tutaj swoje dane logowania. Po pomyślnej weryfikacji, kod autoryzacji jest wysyłany do aplikacji z ADSelfService Plus.
  3. Aplikacja wysyła kod autoryzacji z powrotem do ADSelfService Plus, aby otrzymać token ID. Ten token zawiera dane użytkownika potrzebne do zakończenia procesu logowania.
  4. Po weryfikacji podpisu ADSelfService Plus w tokenie ID, aplikacja pobiera dane użytkownika z tokena ID.
  5. Na koniec, po pomyślnej weryfikacji danych użytkownika po stronie aplikacji, użytkownik jest zalogowany do aplikacji.

Logowanie z inicjatywy ADSelfService Plus

  1. Użytkownik zaloguje się do ADSelfService Plus pomyślnie, przechodzi do zakładki Aplikacje i klika na żądanej aplikacji.
  2. W tym przypadku ADSelfService Plus wysyła token ID bezpośrednio do aplikacji.
  3. Po zweryfikowaniu podpisu ADSelfService Plus w tokenie ID, aplikacja pobiera szczegóły użytkownika z tokenu ID.
  4. Po pomyślnej weryfikacji szczegółów użytkownika po stronie aplikacji, użytkownik zostaje zalogowany do aplikacji.

Obsługiwane zakresy

Zakresy definiują poziom dostępu, który może być żądany przez dostawcę usług w celu uzyskania dostępu do zasobów. Muszą być odpowiednio włączone przez administratora. ADSelfService Plus obsługuje następujące zakresy:

Obsługiwane aplikacje

Przejdź do góry
Nawiguj do poprzedniego Poprzedni tematNastępny temat Nawiguj do następnego

Thanks!

Your request has been submitted to the ADSelfService Plus technical support team. Our technical support people will assist you at the earliest.

 

Need technical assistance?

  • Enter your email ID
  • Talk to experts
  •  
     
  •  
  • By clicking 'Talk to experts' you agree to processing of personal data according to the Privacy Policy.

© 2024, ZOHO Corp. Wszelkie prawa zastrzeżone.