Эта технология предоставляет единый сервис аутентификации (провайдер) для подключенных приложений организации с поддержкой таких протоколов, как SAML и OpenID. При этом для доступа ко всем приложениям используется одна учетная запись.
Настройки в пользовательском режиме
Вариант работы - вариант работы SSO.
Пропускать кнопку входа - вариант при котором пользователь авторизуется автоматически при переходе по адресу личного кабинета, без необходимости дополнительного нажатия кнопки "Войти с помощью SSO"
Проверять подпись- система на стороне приложения криптографически проверяет цифровую подпись токена или SAML‑ответа, который пришёл от IdP (поставщика идентификации)
Тип HTTP-запроса авторизации- Определяет какой тип HTTP-запроса будет использовать front-end при отправке запросов авторизации(GET, POST).
Настройки SAML2
Адрес IDP - необходимо указать адрес IDP;
Закрытый сертификат из файла - сертификат из справочника Файлы (расширения cer, pem).
Публичный сертификат из файла - сертификат из справочника Файлы (расширения p12, key).
Пароль закрытого сертификата - пароль, используемый для закрытого сертификата.
Настройки OpenID Connect 1.0
Получение данных аутентификации - выбрать значение из выпадающего списка:
Извлечь из токена - рекомендуется;
Получить по API - используется тогда, когда IDP не добавляет эл. почту в токен.
Адрес авторизации (authorization_endpoint) - необходимо указать адрес авторизации;
Адрес выдачи токенов (token_endpoint) - необходимо указать адрес выдачи токенов;
Адрес информации о пользователе (userinfo_endpoint) - необходимо указать адрес информации о пользователе;
Адрес выхода из приложения (end_session_endpoint) - необходимо указать адрес выхода из приложения;
Идентификатор клиента - обязательный параметр, получается в настройках провайдера.
Секретный ключ клиента - необязательный параметр.
Пример:
{"token_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/token",
"token_endpoint_auth_methods_supported"["client_secret_post","private_key_jwt","client_secret_basic"], "jwks_uri":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/discovery/v2.0/keys",
"response_modes_supported":["query","fragment","form_post"], "subject_types_supported":["pairwise"],
"id_token_signing_alg_values_supported":["RS256"],
"response_types_supported":["code","id_token","code id_token","id_token token"], "scopes_supported":["openid","profile","email","offline_access"], "issuer":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/v2.0",
"request_uri_parameter_supported":false, "userinfo_endpoint":"https://graph.microsoft.com/oidc/userinfo",
"authorization_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/authorize", "device_authorization_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/devicecode", "http_logout_supported":true,"frontchannel_logout_supported":true, "end_session_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/logout",
"claims_supported":["sub","iss","cloud_instance_name","cloud_instance_host_name","cloud_graph_host_name","msgraph_host","aud","exp","iat","auth_time","acr","nonce","preferred_username","name","tid","ver","at_hash","c_hash","email"], "kerberos_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/kerberos",
"tenant_region_scope":"EU",
"cloud_instance_name":"microsoftonline.com", "cloud_graph_host_name":"graph.windows.net",
"msgraph_host":"graph.microsoft.com",
"rbac_url":"https://pas.windows.net"}
