OpenID Connect Spezifikationen: Final: OpenID Connect Core 1.0 incorporating errata set 1
...
verwendet werden. In beiden Fällen werden alle User in einer zentralen Datenbank verwaltet, sie bekommen aber je nach Zugangsberechtigung für die einzelnen Produkte angepasste Berechtigungen. Diese Berechtigungen können entweder manuell administriert oder aus vorhandenen Kundendaten automatisch abgeleitet/generiert werden.
Glossar
OIDC - OpenID Connect
IdP - Identity Provider - In diesem fall, Quino
...
Abkürzung | Begriff | Erklärung |
|---|---|---|
OIDC | OpenID Connect | Das Protokoll das verwendet wird um den Authentifizierungsprozess durchzuführen |
IdP | Identity Provider | In diesem Fall, Quino |
RP | Anwendung, Relying party | |
Token |
...
...
Authentifizierungsabläufe |
...
Scope |
...
Ein |
...
Set an |
...
Eigenschaften das |
...
angefordert werden kann |
Unterstützte Authentifizierungsabläufe
...
Konfiguration -
/.well-known/openid-configuration- Beispiel, siehe Quino10 Sandbox openid-configuration.Token -
/api/v1/connect/tokenauthorization Authorization -
/api/v1/connect/authorizeLogout -
/api/v1/connect/logoutUser info -
/api/v1/connect/userinfoJWT Konfiguration -
/.well-known/jwks
Menu im ECUI
Anwendungen - menupunkt kurz beschreibenListe von allen registrierten Anwendungen
Authorisierungen - menupunkt kurz beschreibenListe von allen registriertenAuthorisierungen
Tokens - menupunkt kurz beschreiben
...
Liste von allen Tokens
Anwendung
Damit sich eine externe Anwendung über den Quino IdP anmelden kann. Muss ein Datensatz für diese Anwendung vorhanden sein. Die local Anwendung ist der Datensatz für das login über das ECUI. Es ist empfohlen mit diesem nicht zu experimentieren.
Detail
...
Client Id
Jeder client Jede Anwendung benötigt eine client id, diese wird verwendet um den client die Anwendung eindeutig zu identifizieren.
...
Dieser Name wird dem Benutzer angezeigt wenn er sich Anmeldet.
Anwendungstypen
type confidental -> benötigt client secret
...
Anwendungstyp
Dieses Feld kann zwei Werte haben:
confidental
Die Anwendung hat ein client secret, das heisst das client secret muss gesetzt werden und auch von der externen Anwendung mitgeschickt werden.
public
Die Anwendung verwendet kein client secret, das heisst es wird einfach ignoriert.
Client Secret
Dieses Feld muss nur gesetzt werden wenn der Anwendungstyp ‘confidental’ ist. Dieses muss auch von externen Anwendungen mitgeschickt werden wenn diese den login prozess starten möchten. Hier ist zu empfehlen einen zufällig generierten wert zu nehmen.
Berechtigungen
JSON array von gegebenen Berechtigungen. Wird eine neue Anwendung erstellt, werden per default alle aufgeführt.
...
Wert | Beschreibung | Empfohlen | |||||
|---|---|---|---|---|---|---|---|
ept:authorization | Erlaubt zugriff auf den Authorization-Endpunkt | Ja | |||||
ept:device | Erlaubt zugriff auf den Geräte-Endpunkt | Nein | ept:introspection | Nein | ept:logout | Erlaubt zugriff auf den Logout-Endpunkt | Ja |
ept:revocation | Nein | ept:token | Erlaubt zugriff auf den Token-Endpunkt | Ja | |||
gt:authorization_code | Erlaubt das verwenden des ‘Authorization Code’ Grant | Ja | |||||
gt:client_credentials | Erlaubt das verwenden des ‘Client Credentials’ Grant | Jagt:urn:ietf:params:oauth:grant-type:device_code | Erlaubt das verwenden des Gerätetyp Grant | ||||
Nein | gt:implicit | Erlaubt das verwenden des Impliziten Grant | Nein | ||||
gt:password | Erlaubt das verwenden des Passwort Grant | Nein | |||||
gt:refresh_token | Erlaubt das verwenden des Token erneuerungs Grant | Ja | |||||
rst:code | Erlaubt das verwenden des Antwort-Typ ‘code’ | Ja | |||||
rst:code id_token | Erlaubt das verwenden der kombination von ‘code’ und ‘id_token’ Antworttypen | - | |||||
rst:code id_token token | Erlaubt das verwenden der kombination von ‘code’, ‘id_token’, und ‘token’ Antworttypen | - | |||||
rst:code token | Erlaubt das verwenden der kombination von ‘code’ und ‘token’ Antworttypen | - | |||||
rst:id_token | Erlaubt das verwenden des Antwort-Typ ‘id_token’ | Ja | |||||
rst:id_token token | Erlaubt das verwenden der kombination von ‘id_token’ und ‘token’ Antworttypen | Ja | |||||
rst:none | Erlaubt das verwenden des Antwort-Typ ‘none’ | - | |||||
rst:token | Erlaubt das verwenden des Antwort-Typ 'token' | Ja | |||||
scp:address | Erlaubt das verwenden des scopes Adresse | - | |||||
scp:email | Erlaubt das verwenden des scopes Email | Ja | |||||
scp:phone | Erlaubt das verwenden des scopes Telefon | - | |||||
scp:profile | Erlaubt das verwenden des scopes Profil | Ja | |||||
scp:roles | Erlaubt das verwenden des scopes Rollen | - |
Weiterleitungs urls
redirecturi -> uri auf die weitergeleitet wird bei erfolgreicher anmeldung
PostLogoutRedirectUris -> uri auf die weitergeleitet wird bei abmeldung
Tokens
...
Weiterleitungs urls
JSON array von gültigen weiterleitungs urls, auf die diese Anwendung weiterleiten darf wenn das login erfolgreich war.
Postlogout Weiterleitungs urls
JSON array von gültigen weiterleitungs urls, auf die diese Anwendung weiterleiten darf nach dem logout.
Tokens
Hier sind alle mit dieser Anwendung assoziierten Tokens. Pro Anmeldung wird ein Token generiert.
...
Authorisierungen
Hier sind alle mit dieser Anwendung für diese Anwendung gegebenen Authorisationen.
...
Weitere links
OpenIddict - AnwendungesberechtigungenVersion 10
Quino
Standard 10 (master) Developer Documentation (Nur für Entwickler erreichbar)Entwickler Dokumentation
Quino Web 10 (main) Developer Documentation (Nur für Entwickler erreichbar)
Version 9
Quino Standard 9 (release/9) Developer Documentation (Nur für Entwickler erreichbar)
Quino Web 9 (release/9) Developer Documentation (Nur für Entwickler erreichbar)