Oauth

Плагин аутентификации OAuth делает возможной авторизацию пользователей Web UI через внешнюю систему, поддерживающую протокол OAuth 2.0.

Когда добавлен и настроен OAuth поставщик, на странице авторизации web UI появляется возможность кликнуть на имя поставщика, чтобы начать аутентификацию через стороннюю систему.

OAuth активируется и управляется через таблицу Поставщиков услуг в общих настройках плагина OAuth. Таблица имеет следующие поля:

  • Поставщик. Уникальный ID поставщика услуг. Определяется пользователем.

  • Описание. Описание поставщиков, которые будут показаны на странице авторизации пользователя web UI. Нажатие на описание поставщика запустит аутентификацию с поддержкой OAuth через выбранного поставщика.

  • Настройки. Настройки для поставщика услуг:

URL защищенного ресурса

URL OAuth запроса, т.е. URL веб-страницы поставщика, на которой содержится информация об авторизуемом пользователе

Идентификатор клиента

Идентификатор клиента поставщика, полученный от сторонней системы, чаще всего, ключ API

Секрет клиента

Пароль клиента поставщика, полученный от сторонней системы, чаще всего, API Секрет

Публичный ключ

Открытый ключ, зарегистрированный на сервере авторизации. Используется при получении или проверке токенов доступа.

Конечная точка токена доступа

URL веб-страницы поставщика, которая получает запросы токена доступа

URL авторизации

URL веб-страницы поставщика, на которую будет перенаправлен пользователь во время OAuth-авторизации

Конечная точка для отзыва токена

URL веб-страницы поставщика, который позволяет AggreGate Server оповещать сервер аутентификации, что полученный ранее токен обновления или доступа больше не нужен

Область видимости

OAuth область видимости, необходимая только некоторым API

URL обратного вызова

OAuth URL обратного вызова - адрес, на который будет перенаправлен пользователь сервером аутентификации после успешной аутентификации.

Должен содержать действительное имя хоста AggreGate Server  и далее /wd?provider=provider_id.

Идентификационный параметр токена

Имя Идентификационного параметра токена, которое будет сравниваться либо с

  • свойством AggreGate Server пользователя, указанным в Поле идентификации пользователя, чтобы найти локальный пользовательский аккаунт для аутентификации, если Поле идетификации пользователя не пустое.

  • Результат оценки Выражения идентификации пользователя, если Поле идентификации пользователя пусто.

Если есть точное совпадение, пользователю предоставляется доступ, в противном случае пользователь не аутентифицируется.

Использовать Open ID

OpenID часто используется в сценариях единого входа (SSO), где пользователь может войти в одно приложение (поставщик OpenID) и затем получить доступ к множеству других приложений (полагающихся сторон) без необходимости повторного входа в систему.

Сопоставление полей пользовательского контекста

Each row creates a mapping between a variable in the user context, User Context Fields, and an identity element returned by the ID token, ID Token Fields.

Каждая строка создает сопоставление между переменной в контексте пользователя, поля Поля контекста пользователя, и элементом идентификации, возвращаемым токеном ID, поля Поля идентификационного токена.

Поле идентификации пользователя

Поле свойств пользователя AggreGate Server значение которого будет сравниваться с параметром идентификационного токена для поиска локальной учетной записи пользователя, которая будет аутентифицирована. Если оставить это поле пустым, вместо него будет использоваться результат выражения идентификации пользователя.

Выражение идентификации пользователя

Выражение оценивается для каждого пользователя в AggreGate, причем пользователь оценивается как контекст по умолчанию. Если результат одной из этих оценок в точности равен значению параметра идентификационного токена, пользователю предоставляется доступ.