Как настроить единый вход с помощью Azure OpenID Connect – CloudSavvy IT

лазурный логотип

Единая регистрация (SSO) обеспечивает столь необходимое удобство и встроенную безопасность для действий при входе в приложения. К счастью, SSO работает с любым веб-приложением в Azure Active Directory, поэтому давайте посмотрим, как мы можем его настроить.

С помощью единого входа ваши пользователи будут входить один раз с одной учетной записью и иметь доступ к вашим веб-приложениям, SAAS, ресурсам компании и присоединенным к домену устройствам. После входа они могут запустить любое приложение из Azure AD MyApps и / или Office 365 Portal, Администраторы могут управлять учетными записями пользователей, а также добавлять / удалять доступ к приложениям на основе членства.

Без единого входа ваши пользователи должны будут помнить информацию журнала конкретного приложения и входить в каждый. Сотрудники должны обновлять, создавать и управлять учетными записями для каждого приложения. Пользователи должны помнить пароли и тратить свое время на вход в систему.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Таким образом, нетрудно видеть, что SSO является явным победителем, когда речь заходит о доступности в Интернете. Но это не только удобно, это безопасно, поэтому давайте взглянем на OpenID Connect.

Что такое OpenID Connect?

Несмотря на то, что язык разметки Security Assertion является текущим основным решением единого входа для предприятий, многие решают использовать их для подключения OpenID по многим причинам.

Вот некоторые из них, чтобы назвать несколько:

  1. Работает лучше на мобильных устройствах
  2. На основе OAuth 2, поэтому проще для разработчиков
  3. Идеально подходит для не сотрудников
  4. Прост в настройке и доступен для поддержания
  5. Промышленный стандарт для Azure Active Directory, Okta, Google G Suite, Auth0, OneLogin и т. Д.

OpenID Connect является родным для многих IDPS, а именно для Azure AD, поэтому мы будем использовать его по своему вкусу.

И OIDC, и SAML могут работать вместе. Так что, если вам нужно разделить и классифицировать ваших внешних и внутренних пользователей, это может быть решением. Это также хорошо для разделения ваших решений, когда вы используете SAML для доступа сотрудников и OIDC для встраивания карт на других сайтах.

Даже если применяются оба метода, DSO все еще можно использовать, но в этом сценарии он не используется.

Как добавить приложение OpenID из Azure AD?

Чтобы запустить процесс включения единого входа для своих приложений, вам необходимо:

  1. Откройте «Портал Azure» и выберите «Active Directory Azure».
  2. Перейдите к «Приложениям предприятия», затем «Все приложения».
  3. Выберите кнопку «Новое приложение» и введите имя в поле поиска. (По умолчанию для OpenID и OAuth кнопка «Добавить» отключена. Администратор клиента должен выбрать кнопку регистрации и предоставить доступ к приложению.

Регистрация нового приложения.

  1. После успешной авторизации вы можете принять согласие, после чего откроется домашняя страница приложения.
  2. При нажатии кнопки регистрации вы будете перенаправлены в «Active Directory Azure» для выполнения учетных данных входа.

На данный момент у вас есть доступ к клиенту для решения OpenID для этого конкретного приложения.

Вы можете добавить только один экземпляр приложения. Если вы уже сделали это и попытались запросить согласие, оно больше не будет добавлено к арендатору. Один экземпляр приложения на каждого арендатора – это единственный способ, которым он работает.

Как аутентификация будет работать с OpenID Connect

Чтобы продолжить аутентификацию SSO, вы должны сначала понять, как работает простой процесс входа в систему:

  1. Пользователь входит в систему и вводит учетные данные, затем соглашается с разрешениями. (Это выполняется с помощью команды / oauth2 / authorize.)
  2. Возвращается id_token, а код авторизации отправляется в браузер.
  3. Перенаправление происходит на URL.
  4. Идентификатор id_token проверен; установлен cookie сеанса.
  5. Носитель кода OAuth должен предоставить код авторизации.
  6. Токен возвращается с refresh_token.
  7. Web API вызывается с токеном в заголовке Auth.
  8. Токен проверен.
  9. Защищенные данные возвращаются в приложение веб-сервера.

Это очень простое представление потока авторизации, и это то, к чему это действительно сводится в конце.

Включение структуры согласия

Чтобы разработать собственное клиентское приложение или многопользовательское веб-приложение, вы можете использовать структуру согласия Azure AD. Это позволит войти из учетных записей пользователей определенного Azure AD арендатор, который был предоставлен доступ на предыдущих этапах.

Доступ к веб-APIS может быть необходимым. Например, Microsoft Graph API для доступа к Azure AD, Office 365 или Intune. Кроме того, любой персональный веб-АПИС должен быть предоставлен доступ от арендатора.

Структура согласия основана на том, что администратор или предыдущий пользователь дает согласие на приложение, которое запрашивает регистрацию в каталоге. Это может включать доступ к данным каталога, но это не обязательно. После получения согласия приложение свяжется с API Graph от имени пользователя и при необходимости получит доступ к информации.

API предоставляет доступ к различным точкам данных, но также предоставляет доступ к группам и пользователям в Azure AD и любых других облачных службах Microsoft. Поэтому он будет работать с любым вашим веб-приложением.

Вот как будет получено согласие для пользователя и разработчика:

Согласие разработчика / пользователя

Приложению веб-клиента необходимы разрешения для доступа к ресурсу. Портал Azure объявляет запрос разрешения для установки настроенного времени. Как и любой другой параметр конфигурации, он становится частью точек регистрации Azure AD.

Чтобы получить доступ к пути доступа, вам нужно нажать «Регистрация приложений» с левой стороны и открыть приложение, с которым вы будете работать. Затем вы можете перейти в меню «Права доступа API» и выбрать опцию «Добавить разрешение». После этого вы выбираете «Microsoft Graph» и выбираете опции из «Приложения и делегированные разрешения».

Путь к разрешению доступа, нажав

Теперь разрешения обновлены, пользователь собирается использовать SSO в первый раз. Сначала приложение должно получить код авторизации от конечной точки в Azure AD, затем этот код будет использоваться для доступа к обновленному токену. Если пользователь не прошел аутентификацию, конечная точка предложит войти в систему.

После входа в систему Azure AD определит, нужно ли показывать пользователю запрос на согласие. Решение будет основано на группе, которая была предоставлена ​​пользователю. Согласие на различные разрешения.

Если согласие не было предоставлено, появится приглашение с отображением разрешений, необходимых для работы. Пользователь может согласиться с различными разрешениями, но другим может потребоваться доступ к учетной записи администратора клиента.

Вывод

Хотя процесс включения OpenID Connect довольно прост, функциональность и применение единого входа будут зависеть от возможностей разработчика, который будет отвечать за реализацию этой функции.

OIDC поставляется с множеством интегрированных плагинов, которые обеспечивают мгновенный доступ из коробки, как упоминалось в базовом процессе авторизации, но все, что требует индивидуального подхода, будет более сложным.

Для получения дополнительной информации о том, как расширить возможности единого входа, ознакомьтесь с оригинальной документацией Azure.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *