OpenID Connect Spezifikationen: Final: OpenID Connect Core 1.0 incorporating errata set 1
| Table of Contents |
|---|
Übersicht
Der ECUI Server kann neben der eigentlichen Web-Applikation auf Wunsch auch einen Single Sign-On (SSO) Server (IdP) auf der Basis des OpenID Connect Protokolls zur Verfügung stellen. So kann rund um die Portal-Lösung eine Single Sign-On Infrastruktur implementiert werden. In einem solchen Szenario verwendet das Portal natürlich selber auch die SSO Infrastruktur.
Für jedes in die SSO Infrastruktur integrierte Produkt können
1:1 die schon für das Portal verwendeten User mit ihren Berechtigungen
oder
Login-Berechtigungen unabhängig von den Portal-Usern
verwendet werden. In beiden Fällen werden alle User in einer zentralen Datenbank verwaltet, sie bekommen aber je nach Zugangsberechtigung für die einzelnen Produkte angepasste Berechtigungen. Diese Berechtigungen können entweder manuell administriert oder aus vorhandenen Kundendaten automatisch abgeleitet/generiert werden.
Glossar
OIDC - OpenID Connect
IdP - Identity Provider - In diesem fall, Quino
Anwendung - TODO RP - Relying party
Token - TODO
Abläufe/Authentifizierungsabläufe - TODO
Scope - Ein set an eigenschaften das optional ist/angefordert werden kann
Unterstützte Authentifizierungsabläufe
client credentials
Endpunkte
Kurze übersicht über alle OIDC Endpunkte.
Konfiguration -
/.well-known/openid-configuration- Beispiel, siehe Quino10 Sandbox openid-configuration.Token -
/api/v1/connect/tokenauthorization -
/api/v1/connect/authorizeLogout -
/api/v1/connect/logoutUser info -
/api/v1/connect/userinfoJWT Konfiguration -
/.well-known/jwks
Menu im ECUI
Anwendungen - menupunkt kurz beschreiben
Authorisierungen - menupunkt kurz beschreiben
Tokens - menupunkt kurz beschreiben
layouts von OIDC beschreiben + info in layouts
Anwendung
Damit sich eine externe Anwendung über den Quino IdP anmelden kann. Muss ein Datensatz für diese Anwendung vorhanden sein. Die local Anwendung ist der Datensatz für das login über das ECUI. Es ist empfohlen mit diesem nicht zu experimentieren.
Detail
...
Client Id
Jeder client benötigt eine client id, diese wird verwendet um den client eindeutig zu identifizieren.
Anzeigenamen
Dieser Name wird dem Benutzer angezeigt wenn er sich Anmeldet.
Anwendungstypen
type confidental -> benötigt client secret
type public -> kein client secret (wird nicht beachtet)
Berechtigungen
JSON array von gegebenen Berechtigungen. Wird eine neue Anwendung erstellt, werden per default alle aufgeführt.
Präfixe
ept - Endpunkte Berechtigungen
gt - Grant Berechtigungen
rst - Antworttyp Berechtigungen
scp - Scope Berechtigungen
Liste
Wert | Beschreibung | Empfohlen |
|---|---|---|
ept:authorization | Erlaubt zugriff auf den Authorization-Endpunkt | Ja |
ept:device | Erlaubt zugriff auf den Geräte-Endpunkt | Nein |
ept:introspection | Nein | |
ept:logout | Erlaubt zugriff auf den Logout-Endpunkt | Ja |
ept:revocation | Nein | |
ept:token | Erlaubt zugriff auf den Token-Endpunkt | Ja |
gt:authorization_code | Erlaubt das verwenden des ‘Authorization Code’ Grant | Ja |
gt:client_credentials | Erlaubt das verwenden des ‘Client Credentials’ Grant | Ja |
gt:urn:ietf:params:oauth:grant-type:device_code | Erlaubt das verwenden des Gerätetyp Grant | Nein |
gt:implicit | Erlaubt das verwenden des Impliziten Grant | Nein |
gt:password | Erlaubt das verwenden des Passwort Grant | Nein |
gt:refresh_token | Erlaubt das verwenden des Token erneuerungs Grant | Ja |
rst:code | Ja | |
rst:code id_token | ||
rst:code id_token token | ||
rst:code token | ||
rst:id_token | ||
rst:id_token token | ||
rst:none | ||
rst:token | ||
scp:address | Erlaubt das verwenden des scopes Adresse | |
scp:email | Erlaubt das verwenden des scopes Email | Ja |
scp:phone | Erlaubt das verwenden des scopes Telefon | |
scp:profile | Erlaubt das verwenden des scopes Profil | Ja |
scp:roles | Erlaubt das verwenden des scopes Rollen |
Weiterleitungs urls
redirecturi -> uri auf die weitergeleitet wird bei erfolgreicher anmeldung
PostLogoutRedirectUris -> uri auf die weitergeleitet wird bei abmeldung
Tokens
TODO
...
Authorisierungen
Hier sind alle mit dieser Anwendung
...
Weitere links
Version 10
Quino Standard 10 (master) Developer Documentation (Nur für Entwickler erreichbar)
Quino Web 10 (main) Developer Documentation (Nur für Entwickler erreichbar)
Version 9
Quino Standard 9 (release/9) Developer Documentation (Nur für Entwickler erreichbar)
Quino Web 9 (release/9) Developer Documentation (Nur für Entwickler erreichbar)