Document toolboxDocument toolbox

(v2.3) Nastavení - OpenID Connect

Owned by Pavel Novák
Sept 12, 2024
2 min read

V této části nastavení lze nakonfigurovat integraci se vzdáleným zdrojem uživatelů podporujícím standard OpenID Connect. Na rozdíl od Active Directory (AD) či ADFS integrace, kde je možné použít pouze jeden vzdálený zdroj uživatelů, zde pro OpenID Connect jich je možné nastavit a zároveň používat více najednou.

Sekce nastavení obsahuje tabulku (seznam) existujících nastavených integrací. Pokud ještě žádná nastavená není, je tabulka prázdná. V tabulce lze existující integrace upravit nebo smazat odpovídajícími ikonami v pravé části. Případně lze dočasně některou pouze deaktivovat či znovu aktivovat přepínačem “Aktivní“.

Novou OIDC integraci lze přidat tlačítkem “+ PŘIDAT“ nad tabulkou se seznamem. Zobrazí se formulář s následujícími položkami, které je třeba vyplnit:

Název

Tento název slouží pouze pro informaci a přehled administrátora.

Poskytovatel identity (issuer)

URL poskytovatele identity, kam budou klienti přesměrováni pro přihlášení. Může to být například:

  • Pro Google: https://accounts.google.com

  • Pro Microsoft: https://login.microsoftonline.com/<unique id>/v2.0

(může se měnit, je třeba vždy zjistit/ověřit aktuální URL na straně poskytovatele OIDC)

ID aplikace (klienta)

Unikátní identifikátor OIDC klienta, tj. konkrétní instance aplikace SOFiE. Vygeneruje se obvykle nový unikátní na straně OIDC poskytovatele a vyplní se zde v konfiguraci SOFiE.

Tajný kód klienta

(Client secret) Vygeneruje se obvykle na straně OIDC poskytovatele a vyplní se zde v konfiguraci SOFiE.

Typ

Vybereme jednoho z podporovaných typů OIDC poskytovatelů:

  • MS - Jednotné online přihlášení Microsoft (Azure, 365, Entra).

  • GOOGLE - Jednotné online přihlášení Google.

  • GENERIC - Jiný obecný OpenID Connect poskytovatel.

Jelikož služby Microsoft a Google vyžadují specifické úpravy nad rámec obecného OpenID Connect, mají vlastní typ integrace. Ostatní služby by měly fungovat pod typem generic.

Aktivní

Určuje, zda je tato integrace aktivní a tedy je k dispozici uživatelům k přihlášení.

Identifikátor URI pro přesměrování

Read-only náhled URL, který by měl být vyplněn na straně OIDC poskytovatele, aby tento mohl přesměrovat přihlášené klienty zpět do aplikace SOFiE. Zobrazí se až po prvním uložení nastavení. Při zakládání nové integrace je tak pro získání tohoto URI třeba nejprve formulář uložit a potom znovu otevřít novou položku ze seznamu.