www.state-it.info

Gran base de respuestas a las preguntas de los desarrolladores
Header decor

Como organizar la compleja autorización de openid connect?

mannaro 2018-10-29 13:32:40

Buenos días, compañeros! Tuve la tarea, pero no puedo entender cómo resolverlo.

Introducción: hay una pareja con la que se produce la sincronización de los usuarios. Lee - ellos nos transmiten ID, email y el nombre de a veces. En su sistema, los usuarios que se autentican de OpenID Connect.

También tenemos un sistema en el que los usuarios deben hacer algún tipo de acción, que debemos mantener y ajustar a la ID de usuario. Ajustamos la autorización de OpenID Connect, le reenviamos usuario a él (ahí está, digamos, ya autorizado). El usuario llega a nosotros, lo tenemos en Access Token, Refresh Token, ID y agregamos la carne picada. Pero también tenemos el servidor de autorización (también OpenID Connect), donde el usuario también debe autorizarse.

Resulta, necesitamos configurar este llavero: el usuario autoriza de ellos => llega a nosotros, pasando el ID => autorizar de inmediato sobre este ID.

total de la pregunta: cómo implementar este último punto es competente? Es decir, se puede ir en el rastreo de OpenID, que trabaja para nosotros y encajar la autorización solamente por este ID de socio, pero es algo que no es seguro que si. ¿Existen mecanismos que permiten combinar 2 OpenID Connect servidor sin afectar la del servidor asociado?

Total answers: 1

inoise 2018-10-29 13:40:45

Usted consigue aquí todo este relleno de carne picada - access token, refresh token, el id de token (vosotros OIDC). Guarda esto en el sistema de ID de token que usted toma los datos del usuario, creando en su sistema (si no se ha dicho anteriormente) y automáticamente su логините de vida de tokens. En cada sistema por separado. Así es como funciona el SSO. El segundo servidor de OpenID para esta operación, no es necesario. En casos extremos puede utilizar Federation

mannaro 2018-10-29 13:44:40

Sí, no es necesario. Pero tenemos la base de usuarios de su propio, además de que allí agregamos los usuarios de los sistemas de pareja, por lo tanto, deshacerse de собсвенного OpenID servidor no funciona - es necesario como-autorizar a nuestros usuarios en igualdad de condiciones con los usuarios de la pareja :)


inoise 2018-10-29 13:49:09

mannaro, entonces me pregunto ¿por qué el sistema socio?) Pero en general, técnicamente, se puede hacer Federated Identity. Normalmente no lo usan, pero es muy posible. En cualquier caso, añadir mismos usuarios de terceros UsersPool no es muy bueno.

Para ver un ejemplo. Supongamos que usted tiene Auth0 + Active Ditectory y VK. Usted no va a a l a los nuevos usuarios en VK en su dominio añadir? no va a


mannaro 2018-10-29 14:11:08

inoise, el sistema de la pareja es necesario para que no sabemos el nombre de usuario/contraseña de usuario. Y el usuario conoce y escribir en nuestro sitio web no debe (como mínimo, porque no podremos comprobar). Por lo tanto, y necesita el servidor de pareja, donde ya está autorizado o escribe los datos que se pueden comprobar.


inoise 2018-10-29 14:14:07

mannaro, entonces es razonable formado en OIDC pareja y conectar su user-pool a ellos como opcional. De lo contrario tales errores luego словите - no soy cogido un rastrillo


mannaro 2018-10-29 14:24:44

inoise, no se entiende completamente lo que tienes en mente. Puedes, por favor, explicar,?

Mientras que todavía hay un pensamiento tal: usuario tenemos en el cliente hace clic en el botón, cae a nosotros en el servidor de la autorización, de donde espera el token. Nuestro servidor de autorización en lugar de una solicitud de nombre de usuario/contraseña de usuario reenvía al servidor de la pareja, que autoriza y devuelve de nuevo a nosotros en el servidor de autorización. Allí ya tenemos el ID de usuario, lanzando su token en el tiempo de la vida de tokens de la pareja y la mandamos en el cliente. Y luego trabajando con su usuario. Pero todavía no puedo comprender en qué medida es viable este esquema.


mannaro 2018-10-29 14:26:33

inoise, el problema es que no podemos nada para influir en su servidor de OpenID. De la palabra en general. Y no saben nada acerca de nuestros usuarios.


inoise 2018-10-29 14:28:18

mannaro, aquí una de las opciones - o debe tener la posibilidad de acceder a través de un socio, o viceversa. Es decir, que uno de vosotros conecta el otro como método de autenticación. Y sí, no olvides que OpenID, en principio, como Oauth2 - delegation protocolo. Es decir, логинит está allí, y un servicio que permite realizar acciones en su nombre (grosero, pero es la misma). Por lo tanto, lo que quieres hacer, suena como la carne de caza


mannaro 2018-10-29 14:35:33

inoise, puedo estar equivocado, explicó. Todo lo que necesitamos es un lugar de una solicitud de nombre de usuario/contraseña en el servidor de autorización (si el usuario no está autorizado) es entender lo que el usuario realmente. Y para ello hay que tirar el servidor de la pareja, que nos dirá de quién nos ha venido.

Lo que allí sucede -, no nos importa. Tenemos, creo, su base y sus usuarios. Nada, en su nombre, nosotros no es necesario hacer.


inoise 2018-10-29 15:46:37

mannaro, el hecho de que un servidor externo no podría decir. El usuario después de la autenticación de los datos de las cookies de su servidor recibe y a ellos no hacen. Una redirección usted no puede, usted no conseguirá nada. Inicialmente se ha fijado el objetivo, como no решаемую


mannaro 2018-10-30 10:53:04

inoise, ¿por qué no se puede? Si nuestro auth, el servidor actúa como un cliente de autorización OIDC, entonces sí puede? O yo no entiendo?


inoise 2018-10-30 12:50:11

mannaro, OIDC no se trata de la autorización. E incluso no se trata de autenticación. Si quiere que su sistema ha pasado el usuario debe ser la elección de los sistemas, que a su аутентифицируют. Su tira en el sistema, allí el hombre entra, y le devuelve el token y la información básica sobre el usuario. Más lejos se está haciendo con esta información que desea.

Aquí comienza la parte más interesante - sobre sus socios estamos aquí no sabemos nada. Supongo que tienen sus sistemas que permiten acceder a través de OIDC a él. Por lo tanto, que el cliente OIDC. Y para trabajar con ellos usted necesita para que el servidor se OIDC. Y usted necesita para que los usuarios visitantes y a través de ellos, si es posible.

Hay una opción cuando se puede requerir la autenticación de servidor a servidor, pero para ello es necesario que el socio es específico de la api. ¿Es de ellos, yo no sé


Preguntas relacionadas:

Footer decor

© www.state-it.info | Base of answers to questions for developers and programmers.