OpenID-Single-Sign-On

Updated 1 week ago durch Leigh Hutchens

Konfiguration des OpenID-Single-Sign-On-Anbieters

Quinyx unterstützt die OpenID Connect Spezifikation (aktuell Version 1.0)

Der Anbieter unterstützt nun auch die Mobile SSO-Anmeldung.

Voraussetzungen zum Abschließen einer Konfiguration:

  1. IDP (Identitätsanbieter) eingerichtet, der das OpenID-Framework unterstützt.
  2. Identifizierungstoken für Quinyx zur Identifizierung gegenüber dem IDP-Dienst.
Der Zugriff auf die Einstellungen ist auf die Rolle Account Manager beschränkt.

Basiseinstellung

Um eine neue Konfiguration zu erstellen oder eine bestehende zu bearbeiten, gehen Sie zu Einstellungen > OpenID-Anbieter.

Klicken Sie auf Hinzufügen, um eine neue Konfiguration zu erstellen.

Konfigurieren Sie die grundlegenden Details für OpenID Connect

  1. Name : Der Name des Anbieters in Quinyx.
  2. Globaler Login-Alias : Quinyx SSO-Anbieter (OpenID und SAML) können jetzt so eingerichtet werden, dass der Anbietername ein globaler Login-Alias ist. Global bedeutet, dass es in den verschiedenen Regionen von Quinyx (EU und USA) auf Eindeutigkeit geprüft wird. Ein Benutzer (Mitarbeiter oder Manager) kann den Alias im Anmeldedialog der Mobile App verwenden, um direkt zum richtigen SSO-Anbieter geleitet zu werden. Der Anmeldeablauf für das Web wird zu einem späteren Zeitpunkt aktualisiert.
  3. Attributname : Das Attribut, das im OpenID-Setup als Benutzername verwendet wird.
  4. Geltungsbereich : Sätze von Informationen, die als Anspruchswerte vom IDP zur Verfügung gestellt werden sollen. OpenID ist das Minimum. Profile werden häufig verwendet. Um einen Bereich hinzuzufügen, geben Sie den Namen dessen, was Sie hinzufügen möchten, in das Bereichsfeld ein.
  5. Identifikationstyp : Welchen Datentyp kann Quinyx mit den Daten des IDP abgleichen.
  6. Use PKCE : Um die Sicherheit zu erhöhen, kann diese Funktion verwendet werden, aber sie muss vom IDP des Kunden unterstützt werden, damit sie funktioniert. PKCE ist ein Konzept von OAuth 2.0 . Aktivieren Sie das Kontrollkästchen PKCE verwenden , um es zu aktivieren.
  7. Abmelde-URI : URI zum Abmelden des Clients in Quinyx, aber auch beim Identitätsanbieter des Kunden.
  8. Kunden-ID : ID, die der Kunde angeben muss, damit sich Quinyx gegenüber dem IDP identifizieren kann.
  9. Kundengeheimnis : Das Geheimnis sollte vom Kunden auch zu Identifikationszwecken zusammen mit der Kunden-ID10 bereitgestellt werden.
  10. Voreingestellte URL : Geben Sie die Basis-URL des IDP des Kunden ein und Quinyx ruft voreingestellte Informationen ab, die in die erweiterten voreingestellten Werte eingetragen werden.
  11. Klicken Sie auf Weiter.
  12. Das Formular wird mit den voreingestellten Daten aus der voreingestellten URL gefüllt.
  1. Kopieren Sie den Rückgabe-URI und stellen Sie ihn dem Kunden zur Verfügung.

Wenn Sie etwas im Abschnitt „Erweitert“ manuell aktualisieren möchten, klicken Sie auf das Vorhängeschloss.

Konfiguration des globalen Login-Alias

Beim Hinzufügen oder Aktualisieren eines SSO-Anbieters können Sie jetzt auswählen, dass der Name des Anbieters ein globaler Login-Alias sein soll. Dies bedeutet, dass der Name des Anbieters weltweit eindeutig ist und beim Anmelden über die mobile App verwendet werden kann. (Unterstützung für die Anmeldung über das Webportal wird später bereitgestellt).

1. Aktivieren Sie das Kontrollkästchen für Global Login Alias.

2. Konfigurieren Sie den Rest des Anbieters.

3. Speichern Sie die Konfiguration.

4. Der Name des Anbieters wird auf globale Eindeutigkeit validiert (sowohl EU- als auch US-Umgebungen).

5 Wenn der Name eindeutig und genehmigt ist, wird die Provider-Konfiguration gespeichert.

6. Nach dem Speichern der Konfiguration können Benutzer Global Login Alias in der mobilen App verwenden, indem sie den Namen des Anbieters auf der Anmeldeseite (Feld Benutzername) eingeben und auf Weiter tippen. Sie werden dann automatisch auf ihre eigene Login-Provider-Seite umgeleitet. Bei dem einzugebenden Providernamen wird die Groß-/Kleinschreibung nicht beachtet. Wenn der Benutzer einen Bildschirm zur Eingabe seines regulären Passworts erhält (und nicht zur Seite des Anmeldeanbieters umgeleitet wird), bedeutet dies, dass der Benutzer den Namen des Anbieters falsch eingegeben hat oder das Kontrollkästchen Globaler Login-Alias nicht aktiviert ist (Schritt 1).

Wie haben wir das gemacht?