AllInfo

Wie, um das Setup-SSO mit Azure OpenID Connect

Single Sign-On (SSO) ermöglicht die dringend benötigte Komfort und innere Sicherheit-sign-on-Aktivitäten für die Anwendungen. Zum Glück genug, SSO funktioniert mit jedem web-app in Ihrem Azure Active Directory, so lassen Sie uns nehmen einen Blick an, wie wir es einrichten können.

Mit SSO können Ihre Benutzer melden Sie sich einmal mit einem einzigen Konto und haben Zugriff auf Ihre web-Anwendungen, SAAS -, Unternehmens-Ressourcen und domain-joined Geräte. Nach der Anmeldung können Sie starten eine Anwendung aus dem Azure AD-MyApps und/oder Office 365-Portal. Administratoren können Benutzerkonten verwalten und hinzufügen/entfernen ” den Zugriff auf Anwendungen basierend auf der Mitgliedschaft.

Ohne SSO, Ihre Nutzer daran zu erinnern, app-spezifische log-Informationen und melden Sie sich in jede. Die Mitarbeiter aktualisieren, erstellen und verwalten von Konten für jede Anwendung. Benutzer müssen Ihre Kennwörter und Ihre Zeit damit verbringen, über die Unterzeichnung-im.

Also, es ist nicht schwer zu sehen, dass SSO eine klare Gewinner, wenn es um die accessibility im web. Aber es ist nicht nur bequem, es ist sicher, so lassen Sie uns einen Blick auf OpenID Connect.

Was Ist OpenID Connect?

Obwohl die Security Assertion Markup Language) ist die aktuelle primäre SSO-Lösung für Unternehmen, viele sind der Lösung Ihrer Verwendung für OpenID connect für viele Gründe.

Hier sind einige zu nennen:

  1. Besser funktioniert auf mobilen Geräten
  2. Basierend auf OAuth 2, daher einfacher für Entwickler
  3. Perfekt für nicht-Mitarbeiter
  4. Einfach zu konfigurieren und erschwinglich zu erhalten
  5. Industrie-Standard für die Azure Active Directory -, Okta -, Google-G-Suite, Auth0, OneLogin, etc.

OpenID Connect ist eine native zu viele BINNENVERTRIEBENE, nämlich das Azure AD, das ist der Grund, warum wir Sie fit.

Beide OIDC und SAML zusammen laufen lassen. Also, wenn Sie brauchen, um zu trennen und kategorisieren Sie Ihre externe und interne Benutzer, dass könnte die Lösung sein. Es ist auch gut für die Trennung Ihre Lösungen, wo Sie SAML für den Zugang der Mitarbeiter und OIDC für die Karte einbetten auf anderen Seiten.

Auch wenn beide Methoden angewendet werden, DSO kann noch eingesetzt werden, aber das ist nicht wirklich in diesem Szenario verwendet.

So Fügen Sie ein OpenID-App von Azure AD?

Um zu beginnen, den Prozess der Aktivierung der Einzelanmeldung für Ihre apps, müssen Sie zu:

  1. Zugriff auf die “Azure-Portal” und wählen Sie “Azure Active Directory”.
  2. Navigieren Sie zu “Enterprise-Anwendungen”, dann auf “Alle Programme”.
  3. Wählen Sie den “Neue Anwendung” – Taste, und geben Sie den Namen in das Suchfeld ein. (OpenID und OAuth haben den Hinzufügen-button standardmäßig deaktiviert. Der tenant-admin wählen Sie den sign-up-button, und bieten Zugriff auf die app.

  1. Nach erfolgreicher Autorisierung können Sie akzeptieren die Zustimmung, und dann die Anwendung Home-Seite wird geöffnet.
  2. Wenn Sie wählen Sie die sign-up klicken, werden Sie umgeleitet werden, um die “Azure Active directory” zur Erfüllung der Anmeldeinformationen.

An dieser Stelle, die Sie bereitgestellt haben Zugang zu der für den Mieter OpenID Lösung für das jeweilige app.

Sie können nur hinzufügen, eine einzelne Instanz einer Anwendung. Wenn Sie dies bereits getan haben und versucht, zu verlangen, Zustimmung, es wird nicht Hinzugefügt, um die Mieter wieder. Eine app-Instanz pro Mieter, das ist der einzige Weg, es funktioniert.

Wie die Authentifizierung Funktioniert mit OpenID Connect

Um weiterhin mit SSO-Authentifizierung, müssen Sie zuerst verstehen, wie ein einfaches “sign-in” flow funktioniert:

  1. Benutzer meldet sich an und Bucht Anmeldeinformationen, dann Zustimmung zu den Berechtigungen. (Dies wird ausgeführt durch die /oauth2/autorisieren Befehl.)
  2. Ein id_token zurückgegeben, und die authorization_code an den browser gesendet wird.
  3. Eine Umleitung auf die URL.
  4. Die id_token überprüft wird; ein session-cookie gesetzt.
  5. OAuth-code-Träger ist aufgefordert, authorization_code.
  6. Das token zurückgegeben, mit refresh_token.
  7. Web-API-Aufruf ein token in der Auth-header.
  8. Das token überprüft wird.
  9. Sichere Daten zurückgegeben, um die Web-Server-App.

Dies ist eine sehr einfache Darstellung der Autorisierungs-flow, und das ist, was es kommt wirklich darauf an, am Ende.

Aktivieren Sie die Zustimmung Framework

Zu entwickeln, um einen native-client-Anwendung oder Multi-Tenant-web-app können Sie mithilfe der Azure-AD Zustimmung framework. Dieses ermöglicht das anmelden von Benutzerkonten einer bestimmten Azure AD tenant, welche wurde zur Verfügung gestellt, mit Zugang in den früheren Schritten.

Zugriff auf web-APIS notwendig sein könnten. Zum Beispiel, die Microsoft Graph-API zum Zugriff auf Azure-AD, Office 365 oder Intune. Auch, eine persönliche web-APIS gewährt werden müssen, Zugriff vom Mieter.

Die Zustimmung framework basiert auf einem administrator oder Benutzer vor der Bereitstellung Zustimmung zu einer Anwendung angefordert wird, die Eintragung in das Verzeichnis. Es könnte beinhalten, directory-Daten zugreifen, aber es funktioniert nicht. Nach Zustimmung zur Verfügung gestellt wurde, der Antrag wird an das Graph-API auf den Namen des Benutzers und den Zugriff auf die Informationen wie erforderlich.

Die API bietet Zugriff auf verschiedene Daten-Punkte, aber es bietet auch Zugriff auf Gruppen und Benutzer in der Azure AD und anderen Microsoft cloud-services. Also, es funktioniert mit jedem Ihrer web-Anwendungen.

Dies ist, wie die Zustimmung erleben werden, treten die Benutzer und Entwickler:

Entwickler – /Anwender-Zustimmung

Ein web-client-Anwendung muss Berechtigungen für den Zugriff auf eine Ressource. Das Azure-portal wird erklärt, eine Berechtigung anfordern, um eine eingestellte Zeit. Wie jede andere Konfiguration einstellen, wird es Teil des Azure AD-Anmeldedaten Punkte.

Zugriff auf die Berechtigung Weg, müssen Sie klicken Sie auf “App-Registrierungen” von der linken Seite, und öffnen Sie die Anwendung, die Sie verwenden werden. Dann können Sie navigieren sich zu den “API-Berechtigungen” – Menü, und wählen Sie eine “Eine Berechtigung Hinzufügen” – option. Nach diesem wählen Sie die “Microsoft Graph”, und wählen Sie die Optionen, die von der “Application & Berechtigungen Delegiert.”

 

Nun, die Berechtigungen aktualisiert wurden, wird der Benutzer über die Verwendung von SSO für die erste Zeit. Die Anwendung muss zunächst erhalten Sie einen auth-code vom Endpunkt im Azure AD, dann wird der code benutzt, um auf eine aktualisierte token. Wenn der Benutzer nicht authentifiziert wurde, wird der Endpunkt, werden Sie aufgefordert eine “sign-in”.

Nachdem Sie sich eingeloggt haben, wird Azure AD wird bestimmt, ob der Benutzer muss gezeigt werden, eine Zustimmung verlangen. Die Entscheidung wird basierend auf der Gruppe, dass hat wurde, die dem Benutzer erteilt.

Wenn die Zustimmung nicht erteilt wurde, wird eine Eingabeaufforderung angezeigt und zeigt die Berechtigungen, die Sie erfordert, für die Funktionalität. Ein Benutzer kann die Zustimmung zu den verschiedenen Berechtigungen, aber andere müssen möglicherweise den Zugang zu einem tenant-administrator-Konto.

Fazit

Obwohl der Prozess hinter aktivieren OpenID Connect ist ganz einfach, die Funktionalität und die Anwendung der SSO wird strenger auf die Fähigkeit der Entwickler, die verantwortlich für die Umsetzung der Funktion.

OIDC kommt mit einer Vielzahl von integrierten plugins, ermöglicht den sofortigen Zugriff von der box, wie bereits erwähnt, über die grundlegende Berechtigung flow, aber alles, was benötigt einen benutzerdefinierten Ansatz wird von einer komplexeren Ansatz.

Für weitere Informationen, wie Sie erweitern die Möglichkeit des SSO, Lesen Sie einige der original-Dokumentation von Azure.

Posted

in

by

admin

Tags: