OpenID Single Sign On

Updated durch Leigh Hutchens

OpenID Single Sign On-Anbieterkonfiguration

Quinyx unterstützt das OpenID Connect Spezifikation (derzeit Version 1.0).

Der Anbieter unterstützt jetzt auch das Mobile SSO-Login.

Voraussetzungen für eine Konfiguration:

  1. Einrichtung des IDP (Identity Providers), der das OpenID-Framework unterstützt.
  2. Identifikationstoken für Quinyx zur Verwendung bei der Identifizierung gegenüber dem IDP-Dienst.
Der Zugriff auf die Authentifizierungseinstellungen ist auf die Rolle des Kontomanagers beschränkt.

Grundkonfiguration

Um eine neue Konfiguration zu erstellen oder eine vorhandene zu bearbeiten, gehen Sie zu Authentifizierungseinstellungen > OpenID-Anbieter.

Klicken Sie auf Hinzufügen, um eine neue Konfiguration zu erstellen.

Konfigurieren Sie die grundlegenden Details für OpenID Connect

  1. Name: Der Name des Anbieters in Quinyx.
  2. Globaler Anmeldealias: Quinyx SSO-Anbieter (OpenID und SAML) können jetzt so eingerichtet werden, dass der Anbietername ein globaler Anmeldealias ist. Global bedeutet, dass er in den verschiedenen Regionen von Quinyx (EU und USA) auf Eindeutigkeit überprüft wird. Ein Benutzer (Mitarbeiter oder Manager) kann den Alias im Anmeldefenster der mobilen App verwenden, um direkt zum richtigen SSO-Anbieter weitergeleitet zu werden. Der Anmeldeablauf für das Web wird zu einem späteren Zeitpunkt aktualisiert.
  3. Attributname: Das Attribut, das als Benutzername in der OpenID-Konfiguration verwendet wird.
  4. Scopes: Sets von Informationen, die als Claim Values vom IDP verfügbar gemacht werden sollen. OpenID ist das Minimum. Profil ist üblich. Um einen Scope hinzuzufügen, geben Sie den Namen dessen ein, was Sie im Scopes-Feld hinzufügen möchten.
  5. Identifikationstyp: Welcher Datentyp kann Quinyx mit den Daten des IDP abgleichen.
  6. Use PKCE: Um die Sicherheit zu erhöhen, kann diese Funktion verwendet werden, aber sie muss vom IDP des Kunden unterstützt werden, um zu funktionieren. PKCE (Proof Key for Code Exchange) ist ein Konzept von OAuth 2.0. Aktivieren Sie das Kontrollkästchen Use PKCE , um es zu aktivieren.
  7. Logout-URI: URI zum Ausloggen des Clients in Quinyx, aber auch im Identitätsanbieter des Kunden.
  8. Client-ID: ID, die der Kunde bereitstellen muss, damit Quinyx sich gegenüber dem IDP identifizieren kann.
  9. Client Secret: Das Secret sollte vom Kunden ebenfalls für Identifikationszwecke zusammen mit der Client-ID bereitgestellt werden.
  10. Voreingestellte URL: Geben Sie die Basis-URL des IDP des Kunden ein und Quinyx wird voreingestellte Informationen abrufen, die in den erweiterten voreingestellten Werten ausgefüllt werden.
  11. Klicken Sie auf Weiter.
  12. Das Formular wird mit den voreingestellten Daten von der voreingestellten URL ausgefüllt.
  1. Kopieren Sie die Rückgabeadresse (Return URI) und geben Sie sie dem Kunden weiter.

Wenn Sie etwas manuell in der erweiterten Sektion aktualisieren möchten, klicken Sie auf das Vorhängeschloss.

Konfiguration des globalen Anmelde-Alias

Beim Hinzufügen oder Aktualisieren eines SSO-Anbieters können Sie jetzt auswählen, dass der Name des Anbieters ein globaler Anmelde-Alias ist. Das bedeutet, dass der Name des Anbieters global eindeutig ist und beim Einloggen über die mobile App verwendet werden kann. (Die Unterstützung für das Einloggen über das Webportal wird später bereitgestellt).

1. Aktivieren Sie das Kontrollkästchen für den globalen Anmelde-Alias.

2. Konfigurieren Sie den Rest des Anbieters.

3. Speichern Sie die Konfiguration.

4. Der Name des Anbieters wird auf globale Eindeutigkeit überprüft (sowohl in EU- als auch in US-Umgebungen).

5. Wenn der Name eindeutig und genehmigt ist, wird die Anbieterkonfiguration gespeichert.

6. Nach dem Speichern der Konfiguration können Benutzer den globalen Anmelde-Alias in der mobilen App verwenden, indem sie den Namen des Anbieters auf der Anmeldeseite (Feld Benutzername) eingeben und auf "Weiter" tippen. Sie werden dann automatisch auf ihre eigene Anbieter-Anmeldeseite weitergeleitet. Der einzugebende Anbieternamen ist nicht case-sensitive. Wenn der Benutzer einen Bildschirm zur Eingabe seines regulären Passworts erhält (und nicht zur Anbieter-Anmeldeseite weitergeleitet wird), bedeutet dies, dass der Benutzer den Anbieternamen falsch eingegeben hat oder der globale Anmelde-Alias nicht korrekt konfiguriert ist Checkbox ist nicht aktiviert (Schritt 1).

Azure OpenID-connect Einrichtung

Erstmalige Einrichtung in Azure AD

In Quinyx

Letzter Schritt in Azure

  • Gehen Sie zum Authentifizierungs-Tab Ihrer App-Registrierung, fügen Sie die kopierte Redirect-URI hinzu und löschen Sie die vorherige.
  • Klicken Sie auf Fertig.
  • Hinweis: Standardmäßig erzwingt Azure-AD die Zwei-Faktor-Authentifizierung zu Entwicklungszecken mit beispielsweise erfundenen Benutzern. Dies sollte während der Tests deaktiviert werden.
    • Dies sollte nur während der Tests und nach Rücksprache mit dem Mandanten erfolgen.
    • Gehen Sie dazu zu Azure Ad und klicken Sie auf Übersicht.
    • Klicken Sie auf Eigenschaften.
    • Klicken Sie auf Sicherheitsstandards verwalten.
    • Wählen Sie Deaktiviert (nicht empfohlen) und speichern Sie.


Wie haben wir das gemacht?