Агрегатор. Добавление домена аутентификации OIDC
Добавление домена аутентификации OIDC
OpenID Connect (OIDC) - это механизм, позволяющий приложению связаться со службой идентификации (Identity provider, IdP), получить данные о пользователе и вернуть их обратно в приложение. Таким образом OIDC обеспечивает аутентификацию администраторов и пользователей без необходимости ввода логина и пароля.
Служба идентификации IdP (например, keycloak) должна быть предварительно настроена в инфраструктуре организации для возможности использования OIDC как домена аутентификации.
Для добавления домена аутентификации следует перейти «Компоненты - Домены аутентификации», а затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «OIDC аутентификация». Далее заполнить данные, перечисленные в столбце «Параметр» следующей таблицы. Для сохранения параметров конфигурации нужно использовать экранную кнопку [Сохранить].
Параметр | Описание |
---|---|
«Название» | Текстовое наименование домена аутентификации |
«Комментарий» | Информационное сообщение, используемое для описания назначения источника сведений о субъектах и их полномочиях |
«Приоритет» | Приоритет использования домена аутентификации при проверке субъекта и его полномочий |
«Метка» | Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk. Начиная с Termidesk версии 5.1 поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание) |
«Client ID» | Уникальный идентификатор приложения, полученный от службы идентификации IdP. Пример: «openid-test-cl» |
«Client secret» | Ключ приложения, полученный от службы идентификации IdP |
«Authorization endpoint» | URL-адрес авторизации службы идентификации IdP. Пример: «http://192.0.2.2:8080/auth/realms/domain.local/protocol/openid-connect/auth» |
«Token endpoint» | URL-адрес получения токена службы идентификации IdP. Пример: «http://192.0.2.2:8080/auth/realms/domain.local/protocol/openid-connect/token» |
«Userinfo endpoint» | URL-адрес получения информации о пользователе от службы идентификации IdP. Пример: «http://192.0.2.2:8080/auth/realms/domain.local/protocol/openid-connect/userinfo» |
«JWKS URI» | URL-адрес получения сертификатов службы идентификации IdP. Пример: «http://192.0.2.2:8080/auth/realms/domain.local/protocol/openid-connect/certs» |
«Scope» | Набор областей действия, поддерживаемый в службе идентификации IdP. Области действия определяются спецификацией протокола OAuth 2.0. Неполный список возможных значений (указываются через пробел):
Значение по умолчанию: «openid email profile groups». Если нужно указать другой набор значений, следует убедиться, что он поддерживается используемой службой идентификации IdP |
«Атрибут имени пользователя» | Имя атрибута, в котором хранится имя пользователя (логин) в службе идентификации IdP. Значение по умолчанию: «email» |
«Проверка SSL» | Проверка использования SSL |