Het Instellen van eenmalige aanmelding met Azure OpenID Connect

0
187

Single Sign-On (SSO) biedt de broodnodige gemak en de intrinsieke veiligheid te sign-on activiteiten voor de toepassingen. Gelukkig genoeg, SSO-werkt met elke web applicatie in uw Azure Active Directory, dus laten we een kijkje nemen hoe kunnen we deze instellen.

Met SSO, zullen uw gebruikers één keer aan te melden met een account en toegang te hebben tot uw toepassingen van het web, SAAS, de middelen van het bedrijf, en lid zijn van een domein apparaten. Na de ondertekening van in, ze kunnen starten elke toepassing van de Azure AD MyApps en/of Office 365-Portal. Beheerders kunnen gebruikersaccounts beheren en toevoegen/verwijderen toegang tot applicaties op basis van lidmaatschap.

Zonder eenmalige aanmelding van uw gebruikers te onthouden app-specifieke log informatie en aanmelden bij elkaar. Het personeel heeft te werken, te creëren, te beheren en accounts voor elke toepassing. Gebruikers hebben te onthouden van de wachtwoorden en hun tijd besteden aan het ondertekenen van-in.

Dus, het is niet moeilijk om te zien dat SSO is een duidelijke winnaar als het gaat om toegankelijkheid op het web. Maar het is niet alleen handig, het is veilig, dus laten we een kijkje nemen op OpenID Connect.

Wat Is OpenID Connect?

Hoewel Security Assertion Markup Language is de huidige primaire SSO-oplossing voor ondernemingen, die vaak zijn het oplossen van hun gebruik te OpenID connect voor vele redenen.

Hier zijn een aantal om er een paar te noemen:

  1. Werkt beter op mobiele apparaten
  2. Op basis van OAuth 2, dus makkelijker voor ontwikkelaars
  3. Ideaal voor niet-werknemers
  4. Eenvoudig in te stellen en betaalbaar te houden
  5. De industrie Standaard voor het Azure Active Directory, Okta, Google G Suite, Auth0, OneLogin, enz.

OpenID Connect is inheems in vele ONTHEEMDEN, namelijk de Azure AD, dat is de reden waarom we gebruik maken pasvorm.

Zowel OIDC en SAML kunnen samen worden uitgevoerd. Als je dus moet onderscheiden en categoriseren van uw externe en interne gebruikers die misschien wel de oplossing. Het is ook goed voor het scheiden van uw oplossingen, waar u gebruik van SAML voor werknemers en OIDC voor de kaart embedden op andere sites.

Zelfs als beide methoden zijn toegepast, DNB, kan nog steeds worden gebruikt, maar dat is niet echt gebruikt in dit scenario.

Het Toevoegen van een OpenID-App van Azure?

Om te beginnen met het proces van het inschakelen van eenmalige aanmelding voor uw apps, moet u:

  1. Toegang tot de “Azure-Portal,” en selecteer de “Azure Active Directory.”
  2. Navigeer naar “Enterprise-Toepassingen”, vervolgens op “Alle Toepassingen.”
  3. Selecteer de “Nieuwe Aanvraag” knop en typ de naam in het zoekvak. (OpenID en OAuth de knop Toevoegen standaard uitgeschakeld. Uw huurder admin moet u de sign-up knop, en bieden toegang tot de app.

  1. Na succesvolle autorisatie, je kunt het accepteren van de instemming en de Toepassing Startpagina te openen.
  2. Wanneer u kiest voor de sign-up knop, u zal omgeleid worden naar de “Azure Active directory” om te voldoen aan de aanmeldingsreferenties.

Op dit punt hebt u permanent toegang tot de huurder voor de OpenID oplossing voor die specifieke app.

Je kunt alleen een enkel exemplaar van een toepassing. Als je dit al hebt gedaan en geprobeerd om toestemming te vragen, het zal niet worden toegevoegd aan de huurder weer. Een app exemplaar per huurder, dat is de enige manier waarop het werkt.

Hoe Authenticatie Werkt met OpenID Connect

Om door te gaan met SSO-verificatie, moet u eerst begrijpen hoe een eenvoudige teken-in-flow werkt:

  1. Gebruiker borden in en komt referenties, dan toestemming aan machtigingen. (Dit is uitgevoerd door middel van de /oauth2/machtigen opdracht).
  2. Een id_token is geretourneerd, en de authorization_code naar de browser wordt verzonden.
  3. Een omleiding plaatsvindt naar de URL.
  4. De id_token is gevalideerd; een sessie cookie wordt geplaatst.
  5. OAuth-code drager is verzocht authorization_code.
  6. De pion terug met refresh_token.
  7. Web-API wordt aangeroepen met een token in de Auth-header.
  8. De token is gevalideerd.
  9. Secure data teruggestuurd naar de webserver App.

Dit is een heel eenvoudige voorstelling van de vergunning flow, en dat is waar het eigenlijk op neer komt is in het einde.

Het inschakelen van de Toestemming Kader

Voor het ontwikkelen van een native client-toepassing of multi-tenant web app, kunt u gebruik maken van de Azure AD toestemming kader. Dit zal toelaten het aanmelden van gebruikers van een bepaalde Azure AD-huurder, die voorzien is van de toegang in de voorgaande stappen.

De toegang tot de web-API ‘ s kan nodig zijn. Bijvoorbeeld, het Microsoft Graph API voor toegang tot Azure, Office 365, of Intune. Ook eventuele persoonlijke web API ‘ s zal moeten worden verleend de toegang van de huurder.

De toestemming kader is gebaseerd op een beheerder of voorafgaande gebruiker toestemming geeft om een toepassing dat is het aanvragen van de registratie in de directory. Het zou kunnen betrekken map data access, maar het hoeft niet. Na toestemming is verleend, zal de applicatie contact opnemen met de Graph API voor rekening van de gebruiker en toegang tot de informatie nodig is.

De API biedt toegang tot diverse gegevens punten, maar het biedt ook toegang tot groepen en gebruikers in het Azuurblauw van de ADVERTENTIE en andere Microsoft cloud diensten. Daarom zal werken met elk van uw toepassingen van het web.

Dit is hoe de toestemming ervaring zal optreden voor de gebruiker en de ontwikkelaar:

Ontwikkelaar/Toestemming Van De Gebruiker

Een web-client toepassing heeft toegang tot een resource. De Azure-portal is te verklaren dat een verzoek om toestemming voor het instellen van een ingestelde tijd. Net als elke andere configuratie-instelling, het wordt een deel van de Azure AD registratiegegevens punten.

Om toegang te krijgen tot de toestemming pad, moet je klikken op “App Registraties” van de linker kant en open de toepassing die u met werken. Dan kun je navigeren jezelf aan de “API-Machtigingen” menu en selecteer “Voeg Een Toestemming” optie. Daarna selecteert u de “Microsoft Graph” en kies de opties van de Applicatie ” & Overgedragen Rechten.”

 

Nu, de machtigingen zijn bijgewerkt, wordt de gebruiker te gebruiken voor SSO voor de eerste keer. De toepassing moet eerst wordt een autorisatie code van het eindpunt in Azure, dan is de code zal worden gebruikt om toegang te krijgen tot een vernieuwd token. Als de gebruiker niet is geverifieerd, is het eindpunt wordt gevraagd een sign-in.

Nadat ze zich hebben aangemeld, Azure zal bepalen of de gebruiker moet worden weergegeven in een consent aanvraag. Het besluit wordt gebaseerd op de groep die is verleend aan de gebruiker.

Als er wordt geen toestemming verleend, een aanwijzing wordt weergegeven en de weergave van de machtigingen die vereist zijn voor de functionaliteit. Een gebruiker kan de toestemming voor verschillende machtigingen, maar anderen misschien moet de toegang tot een beheerder van de huurder account.

Conclusie

Hoewel het proces achter het inschakelen van OpenID Connect is heel eenvoudig, de functionaliteit en de toepassing van de SSO zal strengere op de capaciteit van de ontwikkelaar die zal worden belast met de uitvoering van de functie.

OIDC komt met een scala van geïntegreerde plug-ins die het mogelijk maakt direct toegang van het vak, zoals vermeld via de basisverificatie flow, maar iets dat vereist een aangepaste benadering van een meer betrokken aanpak.

Voor meer informatie over het uitbreiden van de mogelijkheid van SSO, lees een aantal van de originele documentatie van Azure.