Allgemeine Anforderungen zu SSO mit OpenID Connect (OIDC)

Folgen

Just kann an einen externen sog. Identity Provider (kurz IDP) für den Login per Open ID Connect angebunden werden. Die Nutzer geben ihre Login-Daten dann nicht bei Just, sondern in ihrer Bekannten Login-Maske ein.

 

Folgende Angaben werden für Open ID Connect bei Just benötigt:

Werte, die speziell für Just in ihrem IDP konfiguriert werden müssen

  1. ClientId
    - die eindeutige Kennung für Just in ihrem IDP
  2. ClientSecret
    - das Passwort für den sog. authorization code flow für den Login im Desktop-Browser
  3. Scope:
    - der Scope den ihr IDP erwartet, damit ein Login per OIDC möglich ist und auch z.B. die Email mitgeliefert wird
  4. userNameAttribute:
    - das Feld im ID bzw. Access-Token in dem die email bzw. externalId steht, anhand derer Just den eingeloggten Nutzer erkennen kann

Allgemeine Angaben, die Just von ihrem IDP benötigt:

Issuer-URI:
- z.B. https://login.microsoftonline.com/AZURE_TENANT_ID/v2.0
- Mit Hilfe dieser können eingeloggte Nutzer ihrem IDP zugeordnet werden

Wenn ihr IDP eine sog. OIDC-Discovery-Page zur Verfügung stellt, kann Just diese nutzen, um alle folgenden Werte automatisch einzulesen.
Falls nicht, müssen noch folgende Einstellunegn vorgenommen werden:

Authorization URI:
- zu dieser URI werden die Nutzer weitergeleitet, wenn sie sich bei Just einloggen wollen

Token URI:
- diese URI nutzt Just, um den sog. authorization code nach dem login gegen einen access-token bei Ihrem IDP auszutauschen. Der Just-Server benötigt daher Zugriff auf diesen Endpunkt.

JwkSetUri:
- von dieser URI werden die sog. JSON Web Key Sets geladen, um die Tokens ihres IDPs verifizieren zu können


Die Angaben können sie als Mandantenverwalter selbst unter

https://IHRE_JUST_URL/toro/resource/html#/admin/sso konfigurieren.

 

Die eigentliche Konfiguration haben wir am Beispiel von Azure auf der Seite SSO mit Azure und OpenId Connect beschrieben.

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.