Konfiguration af OpenID Connect

Introduktion

Det er afgørende at konfigurere sikker og pålidelig godkendelse ved enhver implementering af GO-Global. Denne tekniske vejledning guider administratorer gennem hele processen med at konfigurere OpenID Connect (OIDC) på tværs af de største identitetsudbydere – herunder Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak og Google Workspace. Med klare, trinvise instruktioner sikrer den, at din GO-Global Host er korrekt integreret med moderne identitetsplatforme for problemfri brugeradgang og forbedret sikkerhed.

Azure

Følgende trin skal udføres for at oprette en Azure-applikationsregistrering til brug med Microsoft EntraID (tidligere Azure AD) med henblik på at godkende brugere, der opretter forbindelse til GO-Global-værter. Her anvendes OAuth2 for Microsoft Identity version 2.0.

Trin 1: Opret en ny ansøgning

1. Gå til: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
2. Registrer det nye program:

• Under »Understøttede kontotyper« skal du vælge »Kun konti i denne organisationsmappe« (Kun standardmappe – Enkeltlejer)
• Vælg »Web« som type under »Omdirigerings-URL«. Indtast en omdirigerings-URL for dit domæne i feltet »Værdi«. For eksempel: https://example.com/callback.html

Trin 2: Konfigurer branding og egenskaber

Under »Branding og egenskaber« skal du kontrollere, at udgiverdomænet er angivet korrekt. For eksempel: example.com

Trin 3: Opret en klientnøgle

1. Gå til »Certifikater og hemmeligheder«.
2. Klik på »Ny klientnøgle« og konfigurer indstillingerne.
3. Kopier den hemmelige værdi, og opbevar den sikkert.
   

Trin 4: Konfigurer tokenindstillinger

1. Gå til »Token-konfiguration«.
2. Klik på »Tilføj valgfri påstand«.
3. Konfigurer:
   • Token-type: ID
   • Påstand: Vælg upn
4. Klik på Tilføj.
5. Aktivér indstillingen »Aktiver Microsoft Graph-profilrettigheder«.
6. Klik på »Tilføj« for at gemme.
   

Bemærk:

Når man konfigurerer en app-registrering med Azure Active Directory B2C, findes der ikke et faneblad til tokenkonfiguration i brugergrænsefladen i Azure Portal. I stedet skal man tilføje optionalClaims via manifest-JSON-filen.

For eksempel:

 "optionalClaims": {
   "accessToken": [],
   "idToken": [
        {
           "additionalProperties": [],
           "essential": false,
           "name": "upn",
           "source": null
                 	} 
    ],
    "saml2Token": []
},

Trin 5: Juster API-tilladelser

GO-Global bruger profilrettigheder i stedet for User.Read. Fjern unødvendige rettigheder:

1. Gå til API-tilladelser.
   
2. Find »User.Read «, og klik på »Fjern tilladelse«.
   
3. Bekræft ved at klikke på Ja, Fjern.

Kontroller, at den delegerede tilladelse til Microsoft Graph-profilen er angivet. (Den bør tilføjes automatisk.)

Trin 6: Konfigurer godkendelse

1. Gå til Hostindstillinger | Godkendelse i administrationskonsollen.
   
2. Konfigurer følgende:

• Fjern markeringen fra alle andre godkendelsesindstillinger.
• Vælg OpenID Connect-godkendelse.
• Vælg én:
  • Log brugere automatisk ind på en lokal Windows-konto, eller
  • Log brugerne automatisk ind på deres domænekonti.
• Klient-id: Kopier applikations-id'et (klient-id'et) fra oversigtssiden for Azure App Registration.
• Klientnøgle: Indsæt den nøgleværdi, du kopierede tidligere.
• Godkend URL: Hent katalog-ID'et (TENANTID) fra oversigtssiden for Azure-appregistrering. Erstat TENANTID i: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
• Token-URL: Hent ID'et for mappen (TENANTID) fra oversigtssiden for Azure-appregistrering. Erstat TENANTID i: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
• Omdirigerings-URL: Brug den samme URL, som blev angivet ved app-registreringen (f.eks. https://example.com/callback.html)

      3. Klik på OK for at gemme.

Bemærk:

I Azure App Registration skal du under menuen »Autentificering« sikre dig, at indstillingerne for »Implicit grant« og »hybrid flows« ikke er aktiveret.

ADFS

Følgende trin og indstillinger er nødvendige for at oprette en Enterprise-applikation i ADFS til brug med en GO-Global Host.

1. Åbn ADFS-administrationsværktøjet på ADFS-Windows-serveren.
2. Højreklik på »Application Groups« i navigationstræet til venstre, og vælg »Add Application Group« for at åbne guiden.
3. Vælg »Server application« i området »Standalone applications« i guiden, og klik på »Next«.
4.    Angiv et navn til applikationen, kopier og gem klientidentifikatoren (Client ID).
5. Indtast GO-Global-callback-URL'en i feltet Redirect URI og klik på Next.
6. Vælg Generate a shared secret og kopier den til brug i Shared Secret.
7. Klik på Next.
8.    Klik på Næste, og gem denne nye applikationsgruppe.

For at konfigurere autoriserings- og token-endpoint-links skal du erstatte "server1.domain.com" i https://server1.domain.com/adfs/oauth2/authorize og https://server1.domain.com/adfs/oauth2/token med FQDN for ADFS-serveren.

Eksempel på autoriserings-URL:
https://[ADFS-SERVER FQDN]/adfs/oauth2/authorize

Eksempel på token-URL:
https://[ADFS-SERVER FQDN]/adfs/oauth2/token 

Bemærk:
Under fanen »Autentificering« i dialogboksen »Værtsindstillinger« i administrationskonsollen skal du vælge enten »Log brugere automatisk ind på en lokal Windows-konto « eller »Log brugere automatisk ind på deres domænekonti«. Hvis ingen af disse OpenID Connect-autentificeringsindstillinger er valgt, vil logon-processen ikke blive gennemført.  

Oracle

Følgende trin og indstillinger er nødvendige for at oprette en applikation i Oracle Identity Cloud til brug med en GO-Global-host.

1. Log ind på Oracle Identity Cloud Service.
2. Gå til »Applications«, klik på »Add« og vælg »Confidential Application«.
3. Indtast et navn til applikationen.
4. Brug URL'en til GO-Global callback.html som »Linking callback URL«. (For eksempel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. Klik på Næste for at konfigurere klienten.
6. Vælg Autorisationskode under Tilladte godkendelsestyper.
7. Hvis du har brug for at bruge ikke-HTTPS-URL'er, skal du vælge indstillingen Tillad ikke-HTTPS-URL'er.
8.    Brug GO-Global Host callback.html som omdirigerings-URL.
(For eksempel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. Indstil Omgå samtykke til Aktiveret.

Alle andre indstillinger kan bruge de standardindstillinger, der er angivet af Oracle.

Når du har oprettet applikationen, skal du klikke på applikationen for at se detaljerne. Klient-ID og klienthemmelighed findes under fanen Konfiguration | Generelle oplysninger. Disse skal kopieres til OpenID Connect-indstillingerne på GO-Global-værten.

Eksempel på autorisations-URL:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code

Eksempel på token-URL:
https://tenant-base-url/oauth2/v1/token?

Bemærk:
Under fanen »Godkendelse« i dialogboksen »Værtsindstillinger« i administrationskonsollen skal du vælge enten »Log brugere automatisk ind på en lokal Windows-konto« eller »Log brugere automatisk ind på deres domænekonti«. Hvis ingen af disse OpenID Connect-godkendelsesindstillinger er valgt, vil logon-processen ikke blive gennemført.  

Okta Identity Cloud

Følgende trin og indstillinger er nødvendige for at oprette en applikation i Okta Identity Cloud til brug med en GO-Global Host. Indstillinger, der ikke er nævnt her, kan forblive på deres standardværdier.

For mere information om Okta, besøg:
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm

1. Gå til »Applications« fra Okta Identity Cloud-dashboardet.
2. Klik på knappen Opret appintegration.
3. Vælg OIDC - OpenID Connect under Log-in-metode.
4. Vælg Webapplikation, som vises, når du har valgt OIDC i trin 3.
5. Vælg Webapplikation under Applikationstype.
6. Klik på Næste
7. Indtast et navn i feltet Navn.
8.    Vælg Klient, der handler på egne vegne, og marker afkrydsningsfeltet for Klientoplysninger.
9. Vælg Klient, der handler på vegne af en bruger, og marker afkrydsningsfeltet for Autorisationskode. Vælg ikke Implicit (hybrid).
10. For URI'er til omdirigering ved login skal du bruge din hosts FQDN her: http://MyHost.MyDomain.com:491/callback.html
11.    Tildelinger: Brug dette til at konfigurere, hvilke brugere der skal have adgang. Eller dette kan springes over og konfigureres senere, efter at appen er oprettet.
12. I Tildelinger skal du vælge at Begrænse adgangen til udvalgte grupper eller Spring gruppetildeling over for nu og oprette appen uden at tildele en gruppe.
13.    Klik på Gem for at oprette denne nye app-integration.
14. Vælg den nye webapp for at åbne redigeringssiderne.
15. Kopier og gem klient-id'et og klienthemmeligheden fra fanen Generelt . Disse skal kopieres til OpenID Connect-indstillingerne på GO-Global-værten.

GO-Global-værtsindstillinger
I GO-Global-administrationskonsollen skal du under OIDC-indstillingerne bruge følgende Okta-godkendelses- og token-URL'er samt dit Okta-tilpassede domæne i stedet for YOUR-OKTA-Domain.
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token

Eksempel på autoriserings-URL:
https://dev-111222.okta.com/oauth2/default/v1/authorize

Eksempel på token-URL:
https://dev-111222.okta.com/oauth2/default/v1/token

Bemærk:

Under fanen »Godkendelse« i dialogboksen »Værtsindstillinger« i administrationskonsollen skal du vælge enten »Log brugere automatisk ind på en lokal Windows-konto « eller »Log brugere automatisk ind på deres domænekonti«. Hvis ingen af disse OpenID Connect-godkendelsesindstillinger er valgt, vil logon-processen ikke blive gennemført.  

For mere information om Okta, besøg: https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.

ManageEngine – Identity Manager Plus

Følgende trin skal udføres for at oprette en applikation i Identity Manager Plus til brug med en GO-Global Host.

1. Gå til fanen »Applikation « på IdentityManager-administrationssiden.
2. Klik på »Tilføj applikation«.
3. Indtast et applikationsnavn og et domænenavn.
4.    Vælg fanen OAuth/OpenID Connect.
5. Aktivér indstillingen for Enable OAuth/OpenID Connect.
6. Indstil Supported SSO Flow til SP Initiated.
7. Brug GO-Global Host callback.html-URL'en til Login Redirect URL(s).
8. For Response Type skal du sikre dig, at kun Authorization Code er valgt.

9. Aktivér »Tillad opdateringstoken«.
10. Indstil »Adgangstokens gyldighed« til 3600 sekunder.
11. Indstil »Nøglealgoritme« til HS256.
12. Indstil »Klientgodkendelsestilstand« til »Vælg klienthemmelighed (Basic) og klienthemmelighed (Post)«.
13. Klik på »Tilføj applikation«.

Klient-id, klienthemmelighed samt token- og godkendelses-URL'erne findes i Identity Manager Plus | Applikationer. Klik på linket Detaljer i kolonnen IdP-detaljer.

Eksempel på autoriserings-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize

Eksempel på token-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token

KeyCloak

GO-Global understøtter KeyCloak med standard-autoriserings-URL'en.

Administratorer kan angive, hvilket felt i ID-tokenet der skal indeholde brugernavnet. Som standard forsøger GO-Global at hente brugernavnet fra det e-mail-felt, der leveres af KeyCloak, men det kan konfigureres til at hente brugernavnet fra andre felter via egenskaben OpenIDConnectUserNameField i filen HostProperties.xml.

Sådan indstilles egenskaben OpenIDConnectUserNameField

‍
1. Stop tjenesten Application Publishing Service.
2. Åbn filen %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml i et tekstredigeringsprogram.
3. Find egenskaben OpenIDConnectUserNameField, og ændr værdien til navnet på den påstand i brugerens OIDC-ID-token, der indeholder det UPN, som GO-Global skal bruge til at godkende brugeren på Windows.
4.    Gem filen HostProperties.xml.
5. Genstart Application Publishing Service.

Google Workspace/Cloud Identity

Før du går i gang, skal du sikre dig, at du har enten Google Workspace Premium med et brugerdefineret domæne eller Cloud Identity Premium med et brugerdefineret domæne. Kontroller, at din organisation findes i Google Admin Console. For nye konti kan det tage lidt tid, før dit brugerdefinerede domæne oprettes automatisk. Opret nye brugere, hvis det er nødvendigt. GraphOn anbefaler, at du aktiverer totrinsverifikation for alle brugere.

Vejledning til Google Cloud Console
A. Opret et nyt projekt (f.eks. GG-OIDC-Project), og gå til det nyoprettede projekt.

B. Opret en OAuth-samtykkeskærm
1. Gå til API'er og tjenester. Vælg OAuth-samtykkeskærm i venstre navigationspanel. Du kan også vælge Branding til venstre på den nye Google Auth Platform-side.
2. Vælg brugertype: Intern.
3. Indtast appnavn (f.eks. GG-Auth-Consent).
4.    I feltet Application home page skal du indtaste URL'en til GO-Global Host eller load balancer. (F.eks. https://myapp.example.com)
5. I feltet Authorized domain skal du indtaste top-level-domænet (TLD) for GO-Global Host. (F.eks. example.com)
6. Klik på Save and Continue.
7.    Spring tilføjelsen af omfang over, medmindre det kræves af din organisations politik.
8. Klik på Gem og fortsæt.

C. Opret et OAuth-klient-ID
1. Gå til API'er og tjenester | Legitimationsoplysninger | Opret legitimationsoplysninger | OAuth-klient-ID. Alternativt kan du på den nye Google Auth Platform-side vælge Klienter til venstre.
2. Vælg Webapplikation under Applikationstype.
3.    Giv OAuth-klienten et navn. (f.eks. GG-Auth-Client)
4. Tilføj en autoriseret omdirigerings-URI ved at bruge din GO-Global-webserver-URL eller load balancer-URL med suffikset /callback.html (f.eks. https://myapp.example.com:491/callback.html). Udelad :491, hvis load balancer-frontend lytter på port 443.
5. Opret klienten.
6. Opbevar det genererede klient-id og den genererede klienthemmelighed sikkert.

GO-Global-værtskonfiguration

‍Konfigurerfølgende indstillinger på din(e) GO-Global-host(s):
1. Gå til Værktøjer | Hostindstillinger | Godkendelse.
2. Fjern markeringen i alle afkrydsningsfelter.
3. Aktivér OpenID Connect-godkendelse.
4. Vælg enten »Log brugere automatisk ind på lokale Windows-konti « eller »Log brugere automatisk ind på deres domænekonti«.
5.    Indtast klient-ID-strengen fra din OpenID Connect-serverkonfiguration i feltet Klient-ID.
6. Indtast klienthemmeligheden fra din OpenID Connect-serverkonfiguration i feltet Klienthemmelighed.
7. Indtast den autoriserings-URL, der bruges til at godkende brugere med din OpenID Connect-server, i feltet Autoriserings-URL. For eksempel:
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. Indtast den token-URL, der bruges til at godkende brugere med din OpenID Connect-server, i feltet Token-URL. For eksempel: https://oauth2.googleapis.com/token
9.    I feltet Omdirigerings-URL skal du indtaste URL'en til din GO-Global-webserver, tredjepartswebserver eller load balancer med suffikset /callback.html.
(For eksempel https://myapp.example.com:491/callback.html). Udelad :491, hvis din load balancers frontend lytter på port 443.
10. Klik på OK.

Konklusion

Det er afgørende at konfigurere sikker og pålidelig godkendelse ved enhver implementering af GO-Global. Denne tekniske vejledning guider administratorer gennem hele processen med at konfigurere OpenID Connect (OIDC) på tværs af de største identitetsudbydere – herunder Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak og Google Workspace. Med klare, trinvise instruktioner sikrer den, at din GO-Global Host er korrekt integreret med moderne identitetsplatforme for problemfri brugeradgang og forbedret sikkerhed.

Er du en ISV, der udforsker cloud-baseret applikationslevering? Kontakt os for at høre, hvordan GO-Global kan hjælpe dig med at strømline adgangen til software for dine slutbrugere. Eller download en gratis prøveversion for at teste det selv.