Just kann an einen externen sog. Identity Provider (kurz IDP) für den Login per Open ID Connect angebunden werden. Die Nutzer geben ihre Login-Daten dann nicht bei Just, sondern in ihrer Bekannten Login-Maske ein.
Folgende Angaben werden für Open ID Connect bei Just benötigt:
Werte, die speziell für Just in ihrem IDP konfiguriert werden müssen
- ClientId
- die eindeutige Kennung für Just in ihrem IDP - ClientSecret
- das Passwort für den sog. authorization code flow für den Login im Desktop-Browser - Scope:
- der Scope den ihr IDP erwartet, damit ein Login per OIDC möglich ist und auch z.B. die Email mitgeliefert wird - userNameAttribute:
- das Feld im ID bzw. Access-Token in dem die email bzw. externalId steht, anhand derer Just den eingeloggten Nutzer erkennen kann
Allgemeine Angaben, die Just von ihrem IDP benötigt:
Issuer-URI:
- z.B. https://login.microsoftonline.com/AZURE_TENANT_ID/v2.0
- Mit Hilfe dieser können eingeloggte Nutzer ihrem IDP zugeordnet werden
Wenn ihr IDP eine sog. OIDC-Discovery-Page zur Verfügung stellt, kann Just diese nutzen, um alle folgenden Werte automatisch einzulesen.
Falls nicht, müssen noch folgende Einstellunegn vorgenommen werden:
Authorization URI:
- zu dieser URI werden die Nutzer weitergeleitet, wenn sie sich bei Just einloggen wollen
Token URI:
- diese URI nutzt Just, um den sog. authorization code nach dem login gegen einen access-token bei Ihrem IDP auszutauschen. Der Just-Server benötigt daher Zugriff auf diesen Endpunkt.
JwkSetUri:
- von dieser URI werden die sog. JSON Web Key Sets geladen, um die Tokens ihres IDPs verifizieren zu können
Die Angaben können sie als Mandantenverwalter selbst unter
https://IHRE_JUST_URL/toro/resource/html#/admin/sso konfigurieren.
Die eigentliche Konfiguration haben wir am Beispiel von Azure auf der Seite SSO mit Azure und OpenId Connect beschrieben.
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.