OpenID连接
- 适用于:
- Mindtouch(当前)
- 角色要求:
- 管理
启用OpenID Connect单点登录(SSO),允许用户从您的登录门户登录到MindTouch网站。
除了SSO的好处之外,OpenID Connect还提供了高级的隐私配置,使其成为组织客户访问提供客户或消费者体验的应用程序(如MindTouch站点)的理想选择。
该解决方案是为每个客户端定制的MindTouch专业服务.元素和标签可能与记录的内容不同。
术语
- 开放授权(OAuth 2.0)是基于令牌的身份验证和授权的标准,允许最终用户的帐户信息由第三方服务使用。OAuth 2.0是OpenID Connect的基础技术。
- OpenID连接(OIDC)是OAuth 2.0协议之上的简单标识层,其允许计算客户端验证最终用户的身份。
- 一个身份提供商(IDP)是一种用于创建,管理和存储用户的身份验证凭据的服务(用户名,密码,组分配,角色等)
- 这依靠派对(RP)是用户想要使用OpenID Connect进行身份验证的应用程序(例如,MindTouch)。
- 一个授权代码流是一个支持的Openid Connect身份验证流程,允许用户批准将发送到MindTouch的用户身份数据。
- 一个隐含的流量是一个不支持的OpenID连接的MindTouch,可以将访问令牌直接通往用户的Web浏览器。
为什么推荐使用OpenID连接进行认证?
- 安全:OpenID Connect为安全IDP的用户提供单点身份验证。用户凭据永远不会在MindTouch和IDP之间传输,最大限度地减少潜在的漏洞点。
- 隐私:用户可以查看并同意哪些身份信息正从IdP转移到应用程序。在同意登录应用程序之前,用户还可以看到隐私政策或服务协议条款。
- 平台无关性:OpenID Connect协议与任何独立于实现的系统进行互操作,减少了与特定于供应商的方法相关的互操作性问题。
- 减少行政费用:通过单一的身份验证识别多个应用程序跨多个应用程序验证用户的负担,降低了帐户管理成本。
-
风险转移:OpenID Connect可以采取责任,以便对身份提供者进行适当管理身份,这与其业务模型更常用而不是服务提供商。
先决条件
- 在MindTouch网站上安装了有效的TLS / SSL证书
- 对您身份提供者(IDP)的管理访问权限
- 工作知识支持OpenID连接流
如果您的MindTouch站点启用了OpenID连接会话,那么OpenID连接会话不能在现有的VPN或ip限制之后发生。
从您的身份提供商收集信息
要配置基本OpenID Connect集成,您将需要IDP中的以下信息:
- 额外的(定制)索赔(可选):任何自定义标识令牌声称要在MindTouch网站上保存用户的配置文件。
- 客户ID(required):作为RP的MindTouch站点的唯一标识符。
- 客户秘密(必选):在IdP和MindTouch网站之间建立信任的秘密密码(此秘密不应通过任何公开渠道共享)。
- IDP授权端点URL(required):接收MindTouch站点授权代码请求的端点。
- IDP发行人(required):标识提供程序的唯一标识符。
- IDP JSON Web密钥集(jwks)端点URL(推荐):将提供带有公钥的MindTouch网站的端点来验证签名的身份令牌。如果没有提供,可以提供JWKS文档(包含密钥,键类型和验证算法)。但是,JWKS安全最佳实践会定期推荐旋转键。
- IDP Logout Endpoint URL(推荐):将收到MindTouch网站的注销请求的端点。
- IdP令牌端点URL(必填):将接收MindTouch网站的身份令牌请求的端点。
- IDP令牌端点URL身份验证方法(可选):RP将用于连接到令牌端点URL的身份验证方法。
- IdP UserInfo端点URL(推荐):如果在身份令牌中不存在,则将提供具有详细用户身份数据的MindTouch网站的端点。
- 作用域(推荐):MindTouch网站将使用Identity令牌声称,以丰富识别用户在Mindtouch网站上的资料。建议使用这些索赔,因此用户可以了解他们与MindTouch网站共享的身份数据,并同意身份数据传输。在将用户重定向到IDP授权URL时,MindTouch网站将包括这些范围。
下一步
联系您的客户成功经理讨论OpenID连接集成服务。根据您集成的复杂性,您可能只需要提供上面描述的IDP数据,或者您可以使用更高级的集成工作。后者可能需要更多地参与您的IDP维护者或供应商以及其他信息。