OpenID Single Sign On
Updated
durch
Leigh Hutchens
OpenID Single Sign On-Anbieterkonfiguration
Quinyx unterstützt das OpenID Connect Spezifikation (derzeit Version 1.0).
Der Anbieter unterstützt jetzt auch das Mobile SSO-Login.
Voraussetzungen für eine Konfiguration:
- Einrichtung des IDP (Identity Providers), der das OpenID-Framework unterstützt.
- Identifikationstoken für Quinyx zur Verwendung bei der Identifizierung gegenüber dem IDP-Dienst.
Grundkonfiguration
Um eine neue Konfiguration zu erstellen oder eine vorhandene zu bearbeiten, gehen Sie zu Authentifizierungseinstellungen > OpenID-Anbieter.
Klicken Sie auf Hinzufügen, um eine neue Konfiguration zu erstellen.
Konfigurieren Sie die grundlegenden Details für OpenID Connect
- Name: Der Name des Anbieters in Quinyx.
- Globaler Anmeldealias: Quinyx SSO-Anbieter (OpenID und SAML) können jetzt so eingerichtet werden, dass der Anbietername ein globaler Anmeldealias ist. Global bedeutet, dass er in den verschiedenen Regionen von Quinyx (EU und USA) auf Eindeutigkeit überprüft wird. Ein Benutzer (Mitarbeiter oder Manager) kann den Alias im Anmeldefenster der mobilen App verwenden, um direkt zum richtigen SSO-Anbieter weitergeleitet zu werden. Der Anmeldeablauf für das Web wird zu einem späteren Zeitpunkt aktualisiert.
- Attributname: Das Attribut, das als Benutzername in der OpenID-Konfiguration verwendet wird.
- Scopes: Sets von Informationen, die als Claim Values vom IDP verfügbar gemacht werden sollen. OpenID ist das Minimum. Profil ist üblich. Um einen Scope hinzuzufügen, geben Sie den Namen dessen ein, was Sie im Scopes-Feld hinzufügen möchten.
- Identifikationstyp: Welcher Datentyp kann Quinyx mit den Daten des IDP abgleichen.
- Use PKCE: Um die Sicherheit zu erhöhen, kann diese Funktion verwendet werden, aber sie muss vom IDP des Kunden unterstützt werden, um zu funktionieren. PKCE (Proof Key for Code Exchange) ist ein Konzept von OAuth 2.0. Aktivieren Sie das Kontrollkästchen Use PKCE , um es zu aktivieren.
- Logout-URI: URI zum Ausloggen des Clients in Quinyx, aber auch im Identitätsanbieter des Kunden.
- Client-ID: ID, die der Kunde bereitstellen muss, damit Quinyx sich gegenüber dem IDP identifizieren kann.
- Client Secret: Das Secret sollte vom Kunden ebenfalls für Identifikationszwecke zusammen mit der Client-ID bereitgestellt werden.
- Voreingestellte URL: Geben Sie die Basis-URL des IDP des Kunden ein und Quinyx wird voreingestellte Informationen abrufen, die in den erweiterten voreingestellten Werten ausgefüllt werden.
- Klicken Sie auf Weiter.
- Das Formular wird mit den voreingestellten Daten von der voreingestellten URL ausgefüllt.
- Kopieren Sie die Rückgabeadresse (Return URI) und geben Sie sie dem Kunden weiter.
Wenn Sie etwas manuell in der erweiterten Sektion aktualisieren möchten, klicken Sie auf das Vorhängeschloss.
Konfiguration des globalen Anmelde-Alias
Beim Hinzufügen oder Aktualisieren eines SSO-Anbieters können Sie jetzt auswählen, dass der Name des Anbieters ein globaler Anmelde-Alias ist. Das bedeutet, dass der Name des Anbieters global eindeutig ist und beim Einloggen über die mobile App verwendet werden kann. (Die Unterstützung für das Einloggen über das Webportal wird später bereitgestellt).
1. Aktivieren Sie das Kontrollkästchen für den globalen Anmelde-Alias.
2. Konfigurieren Sie den Rest des Anbieters.
3. Speichern Sie die Konfiguration.
4. Der Name des Anbieters wird auf globale Eindeutigkeit überprüft (sowohl in EU- als auch in US-Umgebungen).
5. Wenn der Name eindeutig und genehmigt ist, wird die Anbieterkonfiguration gespeichert.
6. Nach dem Speichern der Konfiguration können Benutzer den globalen Anmelde-Alias in der mobilen App verwenden, indem sie den Namen des Anbieters auf der Anmeldeseite (Feld Benutzername) eingeben und auf "Weiter" tippen. Sie werden dann automatisch auf ihre eigene Anbieter-Anmeldeseite weitergeleitet. Der einzugebende Anbieternamen ist nicht case-sensitive. Wenn der Benutzer einen Bildschirm zur Eingabe seines regulären Passworts erhält (und nicht zur Anbieter-Anmeldeseite weitergeleitet wird), bedeutet dies, dass der Benutzer den Anbieternamen falsch eingegeben hat oder der globale Anmelde-Alias nicht korrekt konfiguriert ist Checkbox ist nicht aktiviert (Schritt 1).
Azure OpenID-connect Einrichtung
Erstmalige Einrichtung in Azure AD
- Melden Sie sich an, gehen Sie zum Azure Active Directory Tab.
- Klicken Sie auf App-Registrierungen, klicken Sie auf Neue Registrierung und geben Sie Ihrer App-Registrierung einen Namen.
- Wenn Sie die App-Registrierung anzeigen, gehen Sie zu Zertifikate und Geheimnisse, klicken Sie auf Neues Clientgeheimnis und kopieren Sie den Wert. Sie werden den Wert des Geheimnisses nicht erhalten können, wenn Sie ihn nicht in diesem Schritt an einen sicheren Ort kopieren.
- Gehen Sie zum Authentifizierungs Tab in der App-Registrierung, klicken Sie auf Plattform hinzufügen.
- Wählen Sie Web.
- Setzen Sie die RedirectURI auf 'https://web-test.quinyx.com/extapi/v1/openidsso/login/oauth2/code/tenantname' (vorläufig)
- Aktivieren Sie das Kontrollkästchen "id_token".
- Klicken Sie auf Konfigurieren.
- Klicken Sie auf Übersicht in der App-Registrierung und kopieren Sie die Verzeichnis (Mandanten) ID, um Ihre OpenID-Dokumentations-URL zu erstellen.
- Ihre OpenID-Dokumentation finden Sie unter:
- 'https://login.microsoftonline.com/2d29d7ba-8fba-4204-a107-d9a159392c70/v2.0/.well-known/openid-configuration' 'https://login.microsoftonline.com/2d29d7ba-8fba-4204-a107-d9a159392c70/v2.0/.well-known/openid-configuration'
- Ersetzen Sie Ihre eigene Mandanten-ID, diese Informationen sind öffentlich und
sensibel - Kopieren Sie Ihre "Anwendungs (Client) ID" für die spätere Verwendung als Client-ID in der Quinyx-Einrichtung.
In Quinyx
- Gehen Sie zu den Buchhaltungseinstellungen > Authentifizierung > OpenID.
- Fügen Sie einen Anbieter hinzu.
- Setzen Sie den Wert Ihres Clientgeheimnisses als Clientgeheimnis.
- Setzen Sie Ihre Anwendungs-ID als clientId.
- Setzen Sie 'https://login.microsoftonline.com/2d29d7ba-8fba-4204-a107-d9a159392c70/v2.0/.well-known/openid-configuration' 'https://login.microsoftonline.com/2d29d7ba-8fba-4204-a107-d9a159392c70/v2.0/.well-known/openid-configuration' als "Voreingestellte URL"
- Für Berechtigungen setzen Sie mindestens OpenID und Profil.
- Klicken Sie auf Weiter.
- Dadurch werden die erweiterten Optionen geöffnet, und bei der Client-Authentifizierungsmethode wählen Sie "post".
- Kopieren Sie die Redirect-URI für die spätere Verwendung.
- Optional: Um eine erneute Authentifizierung bei jedem Aufruf des IDP zu erzwingen, fügen Sie "?prompt=login" zur Autorisierungs-URI hinzu
- Klicken Sie auf Speichern.
Letzter Schritt in Azure
- Gehen Sie zum Authentifizierungs-Tab Ihrer App-Registrierung, fügen Sie die kopierte Redirect-URI hinzu und löschen Sie die vorherige.
- Klicken Sie auf Fertig.
- Hinweis: Standardmäßig erzwingt Azure-AD die Zwei-Faktor-Authentifizierung zu Entwicklungszecken mit beispielsweise erfundenen Benutzern. Dies sollte während der Tests deaktiviert werden.
- Dies sollte nur während der Tests und nach Rücksprache mit dem Mandanten erfolgen.
- Gehen Sie dazu zu Azure Ad und klicken Sie auf Übersicht.
- Klicken Sie auf Eigenschaften.
- Klicken Sie auf Sicherheitsstandards verwalten.
- Wählen Sie Deaktiviert (nicht empfohlen) und speichern Sie.
