OpenID Connect Spezifikationen: Final: OpenID Connect Core 1.0 incorporating errata set 1
...
Abkürzung | Begriff | Erklärung | ||
|---|---|---|---|---|
OIDC | OpenID Connect | Das Protokoll das verwendet wird um den Authentifizierungsprozess durchzuführen | ||
IdP | Identity Provider | In diesem Fall, Quino | ||
RP | Anwendung, Relying party | Token | Authentifizierungsabläufe | |
Scope | Ein Set an Eigenschaften das angefordert werden kann |
OpenID relevante Abkürzungen finden sich hier.
Unterstützte Authentifizierungsabläufe
Endpunkte
Kurze übersicht über alle OIDC Endpunkte.Die folgenden Endpunkte stehen zur Verfügung:
Konfiguration -
/.well-known/openid-configuration- Beispiel, siehe Quino10 Sandbox openid-configuration.Token -
/api/v1/connect/tokenAuthorization -
/api/v1/connect/authorizeLogout -
/api/v1/connect/logoutUser info -
/api/v1/connect/userinfoJWT Konfiguration -
/.well-known/jwks
...
Integration im ECUI
Die folgende Menüstruktur steht neu zur Verfügung auf Applikationen welche für Open ID konfiguriert wurden:
Anwendungen - Eine Liste von allen registrierten Anwendungen
Authorisierungen Autorisierungen - Liste von allen registriertenAuthorisierungenAutorisierung
Tokens - Liste von allen der herausgegebenen Tokens
Anwendung
Damit sich eine externe Anwendung über den Quino IdP anmelden kann. Muss ein Datensatz für diese Anwendung vorhanden sein. Die local Anwendung ist der Datensatz für das login über das ECUI. Es ist empfohlen mit diesem dieser nicht zu experimentieren.
...
...
Client Id
Jede Anwendung benötigt eine client id, diese wird verwendet um die Anwendung eindeutig zu identifizieren.
Für Details sei auf die Spezifikation verwiesen.
Anzeigenamen
Dieser Name wird dem Benutzer angezeigt wenn er sich Anmeldetanmeldet respektive die entsprechende Einwilligung gibt.
Anwendungstyp
Dieses Feld kann zwei Werte haben:
confidental
Die Anwendung hat ein client secret, das heisst das client secret muss gesetzt werden und auch von der externen Anwendung mitgeschickt werden.
public
Die Anwendung verwendet kein client secret , das heisst es wird einfach ignoriertda es nicht möglich ist dieses sinnvoll einzusetzen. Beispielsweise bei Applikationen welche als SPA konzipiert sind.
Für Details sei auf die Spezifikation verwiesen.
Client Secret
Dieses Feld muss nur gesetzt werden wenn der Anwendungstyp ‘confidental’ ist. Dieses muss auch von externen Anwendungen mitgeschickt werden wenn diese den login prozess Prozess starten möchten. Hier Es ist zu empfehlen einen zufällig generierten wert Wert zu nehmen.
Für Details sei auf die Spezifikation verwiesen.
Berechtigungen
Ein JSON array von gegebenen Berechtigungen. Wird eine neue Anwendung erstellt, werden per default alle aufgeführt.
...
Wert | Beschreibung | Empfohlen |
|---|---|---|
ept:authorization | Erlaubt zugriff auf den Authorization-Endpunkt | Ja |
ept:logout | Erlaubt zugriff auf den Logout-Endpunkt | Ja |
ept:token | Erlaubt zugriff auf den Token-Endpunkt | Ja |
gt:authorization_code | Erlaubt das verwenden des ‘Authorization Code’ Grant | Ja |
gt:client_credentials | Erlaubt das verwenden des ‘Client Credentials’ Grant | Ja |
gt:implicit | Erlaubt das verwenden des Impliziten Grant | Nein |
gt:password | Erlaubt das verwenden des Passwort Grant | Nein |
gt:refresh_token | Erlaubt das verwenden des Token erneuerungs Grant | Ja |
rst:code | Erlaubt das verwenden des Antwort-Typ ‘code’ | Ja |
rst:code id_token | Erlaubt das verwenden der kombination von ‘code’ und ‘id_token’ Antworttypen | - |
rst:code id_token token | Erlaubt das verwenden der kombination von ‘code’, ‘id_token’, und ‘token’ Antworttypen | - |
rst:code token | Erlaubt das verwenden der kombination von ‘code’ und ‘token’ Antworttypen | - |
rst:id_token | Erlaubt das verwenden des Antwort-Typ ‘id_token’ | Ja |
rst:id_token token | Erlaubt das verwenden der kombination von ‘id_token’ und ‘token’ Antworttypen | Ja |
rst:none | Erlaubt das verwenden des Antwort-Typ ‘none’ | - |
rst:token | Erlaubt das verwenden des Antwort-Typ 'token' | Ja |
scp:address | Erlaubt das verwenden des scopes Adresse | - |
scp:email | Erlaubt das verwenden des scopes Email | Ja |
scp:phone | Erlaubt das verwenden des scopes Telefon | - |
scp:profile | Erlaubt das verwenden des scopes Profil | Ja |
scp:roles | Erlaubt das verwenden des scopes Rollen | - |
Weiterleitungs urls
Weiterleitungs urls
JSON array von gültigen weiterleitungs urlsUrls, auf die welche diese Anwendung weiterleiten darf wenn das login erfolgreich war.
Die Url muss gemäss Spezifikation erfasst werden.
Postlogout Weiterleitungs urls
JSON array von gültigen weiterleitungs urlsUrls, auf die welche diese Anwendung weiterleiten darf nach dem logout.
...
Hier sind alle mit dieser Anwendung assoziierten Tokens. Pro Anmeldung wird ein Token generiert.
...
...
Autorisierungen
Hier sind alle für diese Anwendung gegebenen AuthorisationenAutorisationen. Dies beinhalten auch einen allenfalls erteilte Zustimmung für eine Applikation um auf die Daten des Benutzer zuzugreifen im definierten Umfang.
...
Weitere links
Quino Entwickler Dokumentation
Quino Web 10 (main) Developer Documentation (Nur für Entwickler erreichbar)
Quino Web 9 (release/9) Developer Documentation (Nur für Entwickler erreichbar)