Skonfiguruj OAuth lub OpenID Connect dla aplikacji niestandardowych

ADSelfService Plus wspiera konfigurację SSO dla każdej aplikacji przedsiębiorstwowej wspierającej OAuth/OpenID Connect. W tym dokumencie omawiamy kroki konfiguracji SSO opartego na OpenID Connect dla aplikacji niestandardowych.

Wymagania wstępne

1. Zaloguj się do Dostawcy Usług za pomocą danych administratora. Dostawca Usług to niestandardowa aplikacja, dla której chcesz skonfigurować OpenID Connect.
2. Uzyskaj URL(e) przekierowania autoryzacji lub URL(e) zwrotne od Dostawcy Usług.

Utwórz niestandardową aplikację w ADSelfService Plus

1. Zaloguj się do ADSelfService Plus za pomocą danych administratora.
2. Przejdź do Konfiguracja > Samoobsługa > Synchronizacja hasła/Pojedyncze logowanie.
3. Kliknij Dodaj aplikację.
4. Kliknij opcję Niestandardowa aplikacja w lewym panelu.
5. Wprowadź odpowiednią Nazwę i Opis dla aplikacji.
6. Wprowadź Nazwę domeny dla swojego konta aplikacji. Na przykład, jeśli Twoja nazwa użytkownika to johndoe@thinktodaytech.com, to thinktodaytech.com jest Twoją nazwą domeny.
7. Wybierz polityki, które chcesz przypisać, z rozwijanego menu Przypisz polityki.
8. Możesz również dodać małą lub dużą Ikonę aplikacji, jeśli chcesz.

9. W zakładce OAuth/OpenID Connect zaznacz pole Włącz OAuth/OpenID Connect.
10. W rozwijanym menu Obsługiwany przepływ SSO wybierz Inicjowany przez SP lub Inicjowany przez IdP.
Uwaga: Zaleca się skontaktowanie z zespołem wsparcia aplikacji Dostawcy Usług i weryfikację obsługiwanego przepływu SSO przed wyborem odpowiedniej opcji.

Jeśli wybierzesz przepływ Inicjowany przez SP:

W polu URL(e) przekierowania logowania wprowadź wszystkie dostępne URL(e) przekierowania autoryzacji lub URL(e) zwrotne uzyskane od Dostawcy Usług w kroku 2 warunków wstępnych. URL(e) można znaleźć na stronie konfiguracji SSO OAuth/OIDC Dostawcy Usług.



Jeśli wybierzesz przepływ Inicjowany przez IdP:

URL inicjowania logowania IdP jest używany do wysyłania id_token z Dostawcy Tożsamości do Dostawcy Usług. Po skonfigurowaniu tego URL-a użytkownicy będą mogli zalogować się do Dostawcy Usług, klikając tę konkretną aplikację w zakładce Aplikacje w ADSelfService Plus.

W polu URL(e) przekierowania logowania wprowadź wszystkie dostępne URL(e) przekierowania autoryzacji lub URL(e) zwrotne uzyskane od Dostawcy Usług w kroku 2 warunków wstępnych. URL(e) można znaleźć na stronie konfiguracji SSO OAuth/OIDC Dostawcy Usług.


11. W sekcji Typ odpowiedzi wybierz jedną lub więcej opcji z Kod autoryzacji, Token dostępu oraz Token ID.
Uwaga: Ta wartość będzie odzwierciedlona w sekcji Ogólnodostępna konfiguracja w sekcji Szczegóły IdP i udostępniona aplikacji Dostawcy Usług. Typ odpowiedzi służy do odwoływania się do trybów żądania autoryzacji, od Dostawcy Usług do Dostawcy Tożsamości. Może być wybierany na podstawie wymagań logowania Dostawcy Usług.
• Kod autoryzacji - Używając tego typu odpowiedzi, Dostawca Tożsamości (IdP) wysyła kod autoryzacyjny do dostawcy usług po pomyślnym żądaniu autoryzacji. Z tym kodem autoryzacyjnym dostawca usług wysyła żądanie tokena dostępu do IdP. Używając tego tokena dostępu, dostawca usług uzyskuje informacje o użytkowniku w celu wykonania logowania użytkownika.
• Token dostępu - Używając tego typu odpowiedzi, Dostawca tożsamości (IdP) wysyła token dostępu do dostawcy usług po pomyślnym żądaniu autoryzacji. Używając tego tokena dostępu, dostawca usług uzyskuje informacje o użytkowniku w celu wykonania logowania użytkownika.
• Token ID - Używając tego typu odpowiedzi, Dostawca tożsamości (IdP) wysyła token ID do dostawcy usług po pomyślnym żądaniu autoryzacji. Używając tego tokena ID, dostawca usług uzyskuje informacje o użytkowniku w celu wykonania logowania użytkownika.
12. Zaznacz pole wyboru Zezwól na token odświeżania, aby umożliwić dostawcy usług uzyskanie tokenów dostępu bez konieczności ponownej autoryzacji użytkownika za każdym razem.
13. Pole Ważność tokena dostępu jest domyślnie ustawione na 3600 sekund. Możesz zmienić tę wartość, jeśli zajdzie taka potrzeba.
Uwaga: Ważność tokena dostępu oznacza czas, przez który token wysłany przez dostawcę tożsamości będzie dostępny dla dostawcy usług.
14. Wybierz Algorytm klucza jako HS256, RS256, RS384 lub RS512 w zależności od algorytmu używanego do podpisu tokena dostępu lub id_token.

HS256 - Algorytm symetryczny, który używa jednego wspólnego sekretu (tj. client_secret wygenerowanego podczas tworzenia aplikacji w IdP), do podpisywania i walidacji tokena zamiast używania pary kluczy publicznych.

RS256 - Podpis RSA z SHA-256. Jest to algorytm asymetryczny, który używa pary kluczy publicznych lub prywatnych, generowanych i zarządzanych przez IdP (IdP używa klucza prywatnego do generowania podpisu, a aplikacja używa klucza publicznego do weryfikacji podpisu).

RS384 - Tak samo jak RS256. Jedyna różnica polega na tym, że używa algorytmu haszowania SHA-384 do tworzenia podpisu RSA.

RS512 - Tak samo jak RS256. Jedyna różnica polega na tym, że używa algorytmu haszowania SHA-512 do tworzenia podpisu RSA.


15. W rozwijanym menu Tryb uwierzytelniania klienta wybierz wymagane tryby. Są to tryby, za pomocą których IdP będzie uwierzytelniać żądanie tokena dostępu dostawcy usług.

Podstawowy sekret klienta: IdP generuje client_id i client_secret i z wyprzedzeniem udostępnia je dostawcy usług. Podczas wysyłania żądania tokena dostępu dostawca usług koduje client_id i client_secret w BASE64 i ustawia w nagłówku autoryzacji. IdP weryfikuje ten nagłówek autoryzacji, aby autoryzować żądanie.

Post sekret klienta: IdP generuje client_id i client_secret i z wyprzedzeniem udostępnia je dostawcy usług. Podczas wysyłania żądania tokena dostępu dostawca usług ustawia client_id i client_secret w treści żądania tokena dostępu. IdP weryfikuje client_id i client_secret w treści żądania, aby autoryzować żądanie.

Wyzwaniem kodu PKCE: W tej metodzie autoryzacji dostawca usług generuje losową wartość nazywaną code_verifier, która jest haszowana, tworząc code_challenge. Podczas wysyłania żądania tokena dostępu dostawca usług wysyła ten code_challenge do IdP. IdP sprawdza ten code_challenge w celu autoryzacji żądania.

Client Secret JWT: IdP generuje tajny klucz klienta (client_secret_jwt) i dzieli się nim z dostawcą usług z wyprzedzeniem. Podczas wysyłania żądania tokenu dostępu, dostawca usług wykorzystuje ten klucz do generowania podpisu cyfrowego. IdP sprawdza podpis, aby autoryzować żądanie.

Private Key JWT: IdP otrzymuje URL JWKS (zestaw kluczy publicznych w formacie JSON) od dostawcy usług, który składa się z klucza publicznego. Podczas wysyłania żądania tokenu dostępu, dostawca usług wykorzystuje klucz prywatny do generowania podpisu cyfrowego. IdP sprawdza podpis, używając klucza publicznego uzyskanego z URL JWKS, aby autoryzować żądanie.


16. Wybierając tryb Private Key JWT, ADSelfService Plus potrzebuje szczegółów dotyczących JWKS URL od dostawcy usług, aby uzyskać klucz publiczny, który następnie będzie używany do weryfikacji podpisu.

17. Kliknij Zaawansowana konfiguracja w prawym górnym rogu.
18. W sekcji Konfiguracja Atrybutów Żądań OAuth/OpenID Connect, mapuj atrybuty zgodnie z obrazkiem poniżej.

19. Kliknij Utwórz aplikację niestandardową.