Вариант авторизации

Эта технология предоставляет единый сервис аутентификации (провайдер) для подключенных приложений организации с поддержкой таких протоколов, как SAML и OpenID. При этом для доступа ко всем приложениям используется одна учетная запись.

Настройки в пользовательском режиме

Настройки по SSO становятся доступны в настройках приложения при указании варианта авторизации = SSO.

• Адрес IDP - адрес IDP, на текущий момент указывается вручную.

• Вариант работы - вариант работы SSO.

  • SAML2;

  • OpenID Connect 1.0

Настройки SAML2

• Адрес IDP - необходимо указать адрес IDP;

• Закрытый сертификат из файла - сертификат из справочника Файлы (расширения cer, pem).

• Публичный сертификат из файла - сертификат из справочника Файлы (расширения p12, key).

• Пароль закрытого сертификата - пароль, используемый для закрытого сертификата.

Настройки OpenID Connect 1.0

• Получение данных аутентификации - выбрать значение из выпадающего списка:

  • Извлечь из токена - рекомендуется;

  • Получить по API - используется тогда, когда IDP не добавляет эл. почту в токен.

• Адрес авторизации (authorization_endpoint) - необходимо указать адрес авторизации;

• Адрес выдачи токенов (token_endpoint) - необходимо указать адрес выдачи токенов;

• Адрес информации о пользователе (userinfo_endpoint) - необходимо указать адрес информации о пользователе;

• Адрес выхода из приложения (end_session_endpoint) - необходимо указать адрес выхода из приложения;

• Идентификатор клиента - обязательный параметр, получается в настройках провайдера.

• Секретный ключ клиента - необязательный параметр.

Пример:

{"token_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/token", "token_endpoint_auth_methods_supported"["client_secret_post","private_key_jwt","client_secret_basic"], "jwks_uri":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/discovery/v2.0/keys", "response_modes_supported":["query","fragment","form_post"], "subject_types_supported":["pairwise"], "id_token_signing_alg_values_supported":["RS256"], "response_types_supported":["code","id_token","code id_token","id_token token"], "scopes_supported":["openid","profile","email","offline_access"], "issuer":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/v2.0", "request_uri_parameter_supported":false, "userinfo_endpoint":"https://graph.microsoft.com/oidc/userinfo", "authorization_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/authorize", "device_authorization_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/devicecode", "http_logout_supported":true,"frontchannel_logout_supported":true, "end_session_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/logout", "claims_supported":["sub","iss","cloud_instance_name","cloud_instance_host_name","cloud_graph_host_name","msgraph_host","aud","exp","iat","auth_time","acr","nonce","preferred_username","name","tid","ver","at_hash","c_hash","email"], "kerberos_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/kerberos", "tenant_region_scope":"EU", "cloud_instance_name":"microsoftonline.com", "cloud_graph_host_name":"graph.windows.net", "msgraph_host":"graph.microsoft.com", "rbac_url":"https://pas.windows.net"}

Требования к провайдеру:
    1. Поддержка front channel logout
    2. Поддержка response_type - code
    3. Поддержка отправки client_secret как url-параметра
ВАЖНО! Удалена поддержка SSO WS-Federation.