Just kann an einen externen sog. Identity Provider (kurz IDP) für den Login per OpenID Connect angebunden werden. Die Nutzer geben ihre Login-Daten dann nicht bei Just, sondern in ihrer bekannten Login-Maske ein.
Folgende Angaben werden für Open ID Connect bei Just benötigt:
Werte, die speziell für Just in eurem IDP konfiguriert werden müssen
- ClientId
- die eindeutige Kennung für Just in eurem IDP - ClientSecret
- das Passwort für den sog. authorization code flow für den Login im Desktop-Browser - Scope:
- der Scope den euer IDP erwartet, damit ein Login per OIDC möglich ist und auch z.B. die Email mitgeliefert wird - userNameAttribute:
- das Feld im AD, in dem die E-Mail-Adresse bzw. externalId steht, anhand derer Just den eingeloggten Nutzer erkennen kann
Allgemeine Angaben, die Just von eurem IDP benötigt:
Issuer-URI:
- z.B. https://login.microsoftonline.com/AZURE_TENANT_ID/v2.0
- Mit Hilfe dieser können eingeloggte Nutzer eurem IDP zugeordnet werden
Wenn euer IDP eine sog. OIDC-Discovery-Page zur Verfügung stellt, kann Just diese nutzen, um alle folgenden Werte automatisch einzulesen.
Falls nicht, müssen noch folgende Einstellungen vorgenommen werden:
Authorization URI:
- zu dieser URI werden die Nutzer weitergeleitet, wenn sie sich bei Just einloggen wollen
Token URI:
- diese URI nutzt Just, um den sog. authorization code nach dem Login gegen einen access-token bei eurem IDP auszutauschen. Der Just-Server benötigt daher Zugriff auf diesen Endpunkt.
JwkSetUri:
- von dieser URI werden die sog. JSON Web Key Sets geladen, um die Tokens eures IDPs verifizieren zu können
Die Angaben könnt ihr als Mandantenverwalter selbst unter
https://EURE_JUST_URL/toro/resource/html#/admin/sso konfigurieren.
Die eigentliche Konfiguration haben wir am Beispiel von Azure auf der Seite SSO mit Azure und OpenId Connect beschrieben.
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.