OpenID Connect configureren

Inleiding

Het instellen van veilige en betrouwbare authenticatie is essentieel voor elke GO-Global-implementatie. Deze technische handleiding leidt beheerders door het volledige proces van het instellen van OpenID Connect (OIDC) bij de belangrijkste identiteitsproviders, waaronder Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak en Google Workspace. Met duidelijke, stapsgewijze instructies zorgt deze gids ervoor dat uw GO-Global Host correct wordt geïntegreerd met moderne identiteitsplatforms voor naadloze gebruikerstoegang en verbeterde beveiliging.

Azure

De volgende stappen zijn nodig om een Azure-toepassingsregistratie aan te maken voor gebruik met Microsoft EntraID (voorheen Azure AD) om gebruikers te verifiëren die verbinding maken met GO-Global Host(s). Hierbij wordt gebruikgemaakt van OAuth2 voor Microsoft Identity versie 2.0.

Stap 1: Een nieuwe aanvraag indienen

1. Ga naar: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
2. Registreer de nieuwe applicatie:

• Selecteer onder 'Ondersteunde accounttypes' de optie 'Alleen accounts in deze organisatiedirectory' (Alleen standaarddirectory – Single tenant)
• Selecteer bij ‘Omleidings-URL’ het type ‘Web’. Voer bij ‘Waarde’ een omleidings-URL voor je domein in. Bijvoorbeeld: https://example.com/callback.html

Stap 2: Branding en eigenschappen configureren

Controleer onder ‘Branding en eigenschappen’ of het domein van de uitgever is ingesteld op het juiste domein. Bijvoorbeeld: example.com

Stap 3: Maak een clientgeheim aan

1. Ga naar Certificaten en geheimen.
2. Klik op 'Nieuw clientgeheim' en stel de opties in.
3. Kopieer de geheime waarde en bewaar deze op een veilige plek.
   

Stap 4: Tokeninstellingen configureren

1. Ga naar 'Tokenconfiguratie'.
2. Klik op 'Optionele claim toevoegen'.
3. Configureren:
   • Type token: ID
   • Opmerking: Selecteer upn
4. Klik op Toevoegen.
5. Schakel de optie 'Microsoft Graph-profieltoegang inschakelen' in.
6. Klik op ‘Toevoegen’ om op te slaan.
   

Opmerking:

Bij het instellen van een app-registratie met Azure Active Directory B2C is er geen tabblad ‘Tokenconfiguratie’ in de gebruikersinterface van de Azure Portal. Voeg in plaats daarvan optionalClaims toe via het JSON-manifest.

Bijvoorbeeld:

 "optionalClaims": {
   "accessToken": [],
   "idToken": [
        {
           "additionalProperties": [],
           "essential": false,
           "name": "upn",
           "source": null
                 	} 
    ],
    "saml2Token": []
},

Stap 5: API-machtigingen aanpassen

GO-Global maakt gebruik van profiel rechten in plaats van User.Read. Verwijder overbodige rechten:

1. Ga naar API-machtigingen.
   
2. Zoek ‘User.Read ’ en klik op ‘Toegang intrekken’.
   
3. Bevestig door op Ja, verwijderen te klikken.

Controleer of de gedelegeerde machtiging voor het Microsoft Graph-profiel in de lijst staat. (Deze zou automatisch moeten zijn toegevoegd.)

Stap 6: Verificatie configureren

1. Ga in de beheerconsole naar Hostopties | Verificatie.
   
2. Stel het volgende in:

• Schakel alle andere verificatieopties uit.
• Kies voor OpenID Connect-verificatie.
• Kies een optie:
  • Gebruikers automatisch aanmelden bij een lokaal Windows-account, of
  • Gebruikers automatisch aanmelden bij hun domeinaccounts.
• Klant-ID: kopieer het applicatie-ID (klant-ID) van de overzichtspagina van de Azure-app-registratie.
• Geheime sleutel: plak de eerder gekopieerde geheime waarde.
• Autorisatie-URL: Haal de Directory-ID (TENANTID) op via de overzichtspagina van de Azure-appregistratie. Vervang TENANTID in: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
• Token-URL: Haal de Directory (TENANTID)-ID op via de overzichtspagina van de Azure-appregistratie. Vervang TENANTID in: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
• Omleidings-URL: Gebruik dezelfde URL die je bij de registratie van de app hebt opgegeven (bijv. https://example.com/callback.html)

      3. Klik op OK om op te slaan.

Opmerking:

Zorg ervoor dat in de Azure-appregistratie, onder het menu ‘Verificatie’, de instellingen voor ‘Impliciete toekenning’ en ‘Hybride stromen’ niet zijn ingeschakeld.

ADFS

De volgende stappen en instellingen zijn vereist voor het aanmaken van een Enterprise-toepassing in ADFS voor gebruik met een GO-Global Host.

1. Open op de ADFS Windows Server het ADFS-beheertool.
2. Klik in de navigatiestructuur aan de linkerkant met de rechtermuisknop op Toepassingsgroepen en selecteer Toepassingsgroep toevoegen om de wizard te openen.
3. Selecteer Servertoepassing in het gedeelte Standalone-toepassingen van de wizard en klik op Volgende.
4.    Geef de applicatie een naam, kopieer de Client Identifier (Client ID) en sla deze op.
5. Voer de GO-Global callback-URL in het veld Redirect URI in en klik op Volgende.
6. Selecteer Een gedeeld geheim genereren en kopieer dit om te gebruiken in Gedeeld geheim.
7. Klik op Volgende.
8.    Klik op Volgende en sla deze nieuwe applicatiegroep op.

Om de Endpoint-links voor autorisatie en tokens te configureren, vervangt u "server1.domain.com" in https://server1.domain.com/adfs/oauth2/authorize en https://server1.domain.com/adfs/oauth2/token door de FQDN van de ADFS-server.

Voorbeeld van een autorisatie-URL:
https://[ADFS-SERVER FQDN]/adfs/oauth2/authorize

Voorbeeld van een token-URL:
https://[ADFS-SERVER FQDN]/adfs/oauth2/token 

Opmerking:
Op het tabblad ‘Authenticatie’ van het dialoogvenster ‘Hostopties’ in de beheerconsole moet u de optie ‘Gebruikers automatisch aanmelden bij een lokaal Windows-account’ of ‘Gebruikers automatisch aanmelden bij hun domeinaccounts’ selecteren. Als geen van deze OpenID Connect-authenticatieopties is geselecteerd, wordt het aanmeldingsproces niet voltooid.  

Oracle

De volgende stappen en instellingen zijn nodig om een applicatie aan te maken in Oracle Identity Cloud voor gebruik met een GO-Global Host.

1. Log in op Oracle Identity Cloud Service.
2. Ga naar Applications, klik op Add en kies Confidential Application.
3. Voer een naam in voor de applicatie.
4. Gebruik voor de Linking callback URL de URL naar het bestand callback.html van GO-Global. (Bijvoorbeeld: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. Klik op Volgende om de client te configureren.
6. Selecteer voor Toegestane vergunningstypen de optie Autorisatiecode.
7. Als u niet-HTTPS-URL's moet gebruiken, selecteert u de optie Niet-HTTPS-URL's toestaan.
8.    Gebruik voor de omleidings-URL de GO-Global Host callback.html.
(Bijvoorbeeld: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. Stel Bypass Consent in op Enabled.

Voor alle andere opties kunt u de standaardinstellingen van Oracle gebruiken.

Nadat u de applicatie heeft aangemaakt, klikt u op de applicatie om de details te bekijken. De Client ID en Client Secret zijn te vinden op het tabblad Configuratie | Algemene informatie. Deze moeten worden gekopieerd naar de OpenID Connect-instellingen op de GO-Global Host.

Voorbeeld van een autorisatie-URL:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code

Voorbeeld van een token-URL:
https://tenant-base-url/oauth2/v1/token?

Opmerking:
Op het tabblad ‘Authenticatie’ van het dialoogvenster ‘Hostopties’ in de beheerconsole moet u de optie ‘Gebruikers automatisch aanmelden bij een lokaal Windows-account’ of ‘Gebruikers automatisch aanmelden bij hun domeinaccounts’ selecteren. Als geen van deze OpenID Connect-authenticatieopties is geselecteerd, wordt het aanmeldingsproces niet voltooid.  

Okta Identity Cloud

De volgende stappen en instellingen zijn nodig om een applicatie aan te maken in Okta Identity Cloud voor gebruik met een GO-Global Host. Alle instellingen die niet worden genoemd, kunnen op hun standaardwaarde blijven staan.

Ga voor meer informatie over Okta naar:
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm

1. Ga vanuit het Okta Identity Cloud-dashboard naar Applications.
2. Klik op de knop App-integratie maken.
3. Selecteer voor Aanmeldingsmethode OIDC - OpenID Connect.
4. Selecteer Webapplicatie, die verschijnt nadat u in stap 3 OIDC hebt geselecteerd.
5. Selecteer voor Applicatietype Webapplicatie.
6. Klik op Volgende
7. Voer een naam in het veld Naam in.
8.    Selecteer Client die namens zichzelf optreedt en vink het vakje voor Client Credentials aan.
9. Selecteer Client die namens een gebruiker optreedt en vink het vakje voor Authorization Code aan . Selecteer niet Implicit (hybrid).
10. Gebruik voor Sign-in redirect URIs hier de FQDN van uw host: http://MyHost.MyDomain.com:491/callback.html
11.    Toewijzingen: Gebruik dit om te configureren welke gebruikers toegang krijgen. U kunt dit ook overslaan en later configureren, nadat de app is aangemaakt.
12. Kies in Toewijzingen voor Toegang beperken tot geselecteerde groepen of Groepstoewijzing voorlopig overslaan en maak de app aan zonder een groep toe te wijzen.
13.    Klik op Opslaan om deze nieuwe app-integratie aan te maken.
14. Selecteer de nieuwe webapp om de bewerkingspagina's te openen.
15. Kopieer en bewaar op het tabblad Algemeen de Client-ID en de Client-geheimcode. Deze moeten worden gekopieerd naar de OpenID Connect-instellingen op de GO-Global Host.

GO-Global-hostinstellingen
Gebruik in de GO-Global Admin Console voor de OIDC-instellingen de volgende Okta-autorisatie- en token-URL’s en uw Okta-aangepaste domein voor YOUR-OKTA-Domain.
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token

Voorbeeld van een autorisatie-URL:
https://dev-111222.okta.com/oauth2/default/v1/authorize

Voorbeeld van een token-URL:
https://dev-111222.okta.com/oauth2/default/v1/token

Opmerking:

Op het tabblad ‘Authenticatie’ in het dialoogvenster ‘Hostopties ’ van de beheerconsole moet u kiezen tussen ‘Gebruikers automatisch aanmelden bij een lokaal Windows-account ’ of ‘Gebruikers automatisch aanmelden bij hun domeinaccounts’. Als geen van deze OpenID Connect-authenticatieopties is geselecteerd, wordt het aanmeldingsproces niet voltooid.  

Ga voor meer informatie over Okta naar: https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.

ManageEngine - Identity Manager Plus

De volgende stappen zijn nodig om een applicatie aan te maken in Identity Manager Plus voor gebruik met een GO-Global Host.

1. Ga vanuit de beheerpagina van Identity Manager naar het tabblad Applicatie .
2. Klik op Applicatie toevoegen.
3. Voer een applicatienaam en domeinnaam in.
4.    Selecteer het tabblad OAuth/OpenID Connect.
5. Schakel de optie OAuth/OpenID Connect inschakelen in.
6. Stel Ondersteunde SSO-stroom in op Door SP geïnitieerd.
7. Gebruik de URL callback.html van de GO-Global-host voor de URL('s) voor omleiding bij aanmelding.
8. Zorg ervoor dat bij Responsetype alleen Autorisatiecode is geselecteerd.

9. Schakel ‘Refresh-token toestaan’ in.
10. Stel de geldigheidsduur van het toegangstoken in op 3600 seconden.
11. Stel het sleutelalgoritme in op HS256.
12. Stel de authenticatiemodus voor de client in op ‘Clientgeheim Basic’ en ‘Clientgeheim Post’.
13. Klik op ‘Toepassing toevoegen’.

De client-ID, het clientgeheim en de URL’s voor het token en de autorisatie zijn te vinden in Identity Manager Plus | Toepassingen. Klik op de link Details in de kolom IdP Details.

Voorbeeld van een autorisatie-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize

Voorbeeld van een token-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token

KeyCloak

GO-Global ondersteunt KeyCloak met de standaard Authorize-URL.

Beheerders kunnen aangeven welk veld in het ID-token de gebruikersnaam bevat. Standaard probeert GO-Global de gebruikersnaam te halen uit het e-mailveld dat door KeyCloak wordt verstrekt, maar het kan worden geconfigureerd om de gebruikersnaam uit andere velden te halen via de eigenschap OpenIDConnectUserNameField in het bestand HostProperties.xml.

Om de eigenschap OpenIDConnectUserNameField in te stellen

1. Stop de Application Publishing Service.
2. Open %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml in een teksteditor.
3. Zoek de eigenschap OpenIDConnectUserNameField en wijzig de waarde in de naam van de claim in het OIDC-ID-token van de gebruiker die de UPN bevat die GO-Global moet gebruiken om de gebruiker op Windows te authenticeren.
4.    Sla het bestand HostProperties.xml op.
5. Start de Application Publishing Service opnieuw op.

Google Workspace/Cloud Identity

Zorg er, voordat u begint, voor dat u beschikt over Google Workspace Premium met een eigen domein of Cloud Identity Premium met een eigen domein. Controleer of uw organisatie voorkomt in de Google Admin Console. Bij nieuwe accounts kan het even duren voordat uw eigen domein automatisch wordt aangemaakt. Maak indien nodig nieuwe gebruikers aan. GraphOn raadt aan om tweestapsverificatie in te schakelen voor alle gebruikers.

Handleiding voor de Google Cloud Console
A. Maak een nieuw project aan (bijv. GG-OIDC-Project) en ga naar het zojuist aangemaakte project.

B. Een OAuth-toestemmingsscherm instellen
1. Ga naar API’s en services. Selecteer OAuth-toestemmingsscherm in de navigatiebalk aan de linkerkant. Je kunt ook op de nieuwe Google Auth Platform-pagina links Branding selecteren.
2. Selecteer Gebruikerstype: Intern.
3. Stel de app-naam in (bijv. GG-Auth-Consent).
4.    Typ in het vak Application home page de URL van de GO-Global Host of load balancer. (Bijvoorbeeld: https://myapp.example.com)
5. Typ in het vak Authorized domain het top-level domein (TLD) van de GO-Global Host. (Bijvoorbeeld: example.com)
6. Klik op Save and Continue.
7.    Sla het toevoegen van scopes over, tenzij dit vereist is volgens het beleid van uw organisatie.
8. Klik op Opslaan en doorgaan.

C. Maak een OAuth-client-ID aan
1. Ga naar API's en services | Inloggegevens | Inloggegevens aanmaken | OAuth-client-ID. U kunt ook op de nieuwe Google Auth Platform-pagina links Clients selecteren.
2. Selecteer bij Applicatietype de optie Webapplicatie.
3.    Geef de OAuth-client een naam. (bijv. GG-Auth-Client)
4. Voeg een geautoriseerde omleidings-URI toe met de URL van uw GO-Global-webserver of de URL van de load balancer met het achtervoegsel /callback.html (bijvoorbeeld https://myapp.example.com:491/callback.html). Laat :491 weg als de front-end van de load balancer luistert op poort 443.
5. Maak de client aan.
6. Sla de gegenereerde Client ID en Client Secret veilig op.

GO-Global-hostconfiguratie

Configureerde volgende instellingen in uw GO-Global-host(s):
1. Ga naar Tools | Host Options | Authentication.
2. Schakel alle selectievakjes uit.
3. Schakel OpenID Connect-authenticatie in.
4. Selecteer ‘Gebruikers automatisch aanmelden bij lokale Windows-accounts ’ of ‘Gebruikers automatisch aanmelden bij hun domeinaccounts’.
5.    Typ de Client ID-string uit de configuratie van uw OpenID Connect-server in het veld Client ID.
6. Typ de Client Secret-string uit de configuratie van uw OpenID Connect-server in het veld Client Secret.
7. Typ de autorisatie-URL die wordt gebruikt om gebruikers te authenticeren bij uw OpenID Connect-server in het veld Authorize URL. Bijvoorbeeld:
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. Typ de token-URL die wordt gebruikt om gebruikers te authenticeren met uw OpenID Connect-server in het veld Token-URL. Bijvoorbeeld: https://oauth2.googleapis.com/token
9.    Typ in het vak Redirect URL de URL van uw GO-Global-webserver, webserver van een derde partij of load balancer, met het achtervoegsel /callback.html.
(Bijvoorbeeld: https://myapp.example.com:491/callback.html). Laat :491 weg als de front-end van uw load balancer luistert op poort 443.
10. Klik op OK.

Conclusie

Het instellen van veilige en betrouwbare authenticatie is essentieel voor elke GO-Global-implementatie. Deze technische handleiding leidt beheerders door het volledige proces van het instellen van OpenID Connect (OIDC) bij de belangrijkste identiteitsproviders, waaronder Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak en Google Workspace. Met duidelijke, stapsgewijze instructies zorgt deze gids ervoor dat uw GO-Global Host correct wordt geïntegreerd met moderne identiteitsplatforms voor naadloze gebruikerstoegang en verbeterde beveiliging.

Bent u een ISV die de levering van toepassingen in de cloud onderzoekt? Neem contact met ons op om te ontdekken hoe GO-Global u kan helpen de toegang tot software voor uw eindgebruikers te stroomlijnen. Of download een gratis proefversie om het zelf te testen.