Konfigurering av OpenID Connect

Introduksjon

Konfigurering av sikker og pålitelig autentisering er viktig for enhver GO-Global-distribusjon. Denne tekniske veiledningen veileder administratorer gjennom hele prosessen med å sette opp OpenID Connect (OIDC) på tvers av store identitetsleverandører – inkludert Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak og Google Workspace. Med klare, trinnvise instruksjoner sikrer den at GO-Global Host er riktig integrert med moderne identitetsplattformer for sømløs brukertilgang og forbedret sikkerhet.

Azure

Følgende trinn kreves for å opprette en Azure-applikasjonsregistrering for bruk med Microsoft EntraID (tidligere AzureAD) for å autentisere brukere som kobler seg til GO-Global Host(s). Dette vil bruke OAuth2 for Microsoft Identity versjon 2.0.

Trinn 1: Registrer en ny søknad

1. Naviger til: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
2. Registrer den nye søknaden:

• Under Støttede kontotyper velger du Kontoer bare i denne organisasjonskatalogen (kun standardkatalog – enkeltstående leietaker)
• Under Omdirigerings-URL velger du Nett som Type . For Verdi skriver du inn en omdirigerings-URL for domenet ditt. For eksempel https://example.com/callback.html

Trinn 2: Konfigurer merkevarebygging og egenskaper

Under Merkevarebygging og egenskaper må du bekrefte at utgiverdomenet er satt til riktig domene. For eksempel example.com

Trinn 3: Opprett en klienthemmelighet

1. Gå til Sertifikater og hemmeligheter .
2. Klikk på Ny klienthemmelighet og konfigurer alternativene.
3. Kopier den hemmelige verdien og lagre den på en sikker måte.
   

Trinn 4: Konfigurer tokeninnstillinger

1. Naviger til Tokenkonfigurasjon .
2. Klikk på Legg til valgfritt krav .
3. Konfigurer:
   • Tokentype : ID
   • Krav : Velg opp
4. Klikk på Legg til .
5. Aktiver alternativet Slå på tillatelsen for Microsoft Graph-profilen .
6. Klikk på Legg til for å lagre.
   

Note:

Når du konfigurerer en appregistrering med Azure Active Directory B2C , finnes det ikke noe Token Configuration- blad i Azure Portal-brukergrensesnittet. Legg i stedet til optionalClaims via manifest-JSON.

For eksempel:

 "optionalClaims": {
   "accessToken": [],
   "idToken": [
        {
           "additionalProperties": [],
           "essential": false,
           "name": "upn",
           "source": null
                 	} 
    ],
    "saml2Token": []
},

Trinn 5: Juster API-tillatelser

GO-Global bruker profiltillatelser i stedet for User.Read . Fjern unødvendige tillatelser:

1. Gå til API-tillatelser .
   
2. Finn User.Read og klikk på Fjern tillatelse .
   
3. Bekreft ved å klikke på Ja, fjern .

Kontroller at den delegerte tillatelsen for Microsoft Graph- profilen er oppført. (Den skal legges til automatisk.)

Trinn 6: Konfigurer autentisering

1. I administrasjonskonsollen går du til Vertsalternativer | Autentisering .
   
2. Konfigurer følgende:

• Fjern merkingen for alle andre autentiseringsalternativer.
• Velg OpenID Connect-autentisering .
• Velg én:
  • Logg brukere automatisk på en lokal Windows-konto , eller
  • Logg brukere automatisk på domenekontoene sine .
• Klient-ID : Kopier program-ID-en (klient-ID-en) fra oversiktssiden for Azure-appregistrering.
• Klienthemmelighet : Lim inn den hemmelige verdien som ble kopiert tidligere.
• Autorisasjons-URL : Hent katalog-ID-en (TENANTID) fra oversiktssiden for Azure-appregistrering. Erstatt TENANTID i: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
• Token-URL: Hent katalog-ID-en (TENANTID) fra oversiktssiden for Azure-appregistrering. Erstatt TENANTID i: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
• Omdirigerings-URL : Bruk den samme URL-en som ble angitt under appregistreringen (f.eks. https://example.com/callback.html)

3. Klikk OK for å lagre.

Note:

I Azure-appregistreringen, under Autentisering- menyen, må du sørge for at innstillingene for implisitte tildelinger og hybride flyter ikke er aktivert.

ADFS

Følgende trinn og innstillinger kreves for å opprette et Enterprise-program i ADFS for bruk med en GO-Global Host.

1. Åpne ADFS-administrasjonsverktøyet på ADFS Windows Server.
2. Høyreklikk på Programgrupper i navigasjonstreet til venstre, og velg Legg til programgruppe for å åpne veiviseren.
3. Velg Serverapplikasjon i området Frittstående applikasjoner i veiviseren, og klikk på Neste .
4. Gi applikasjonen et navn, kopier og lagre klientidentifikatoren (klient-ID) .
5. Skriv inn GO-Global tilbakeringings-URL-en i feltet Omdirigerings-URI og klikk på Neste.
6. Velg Generer en delt hemmelighet og kopier den for bruk i Delt hemmelighet .
7. Klikk på Neste .
8. Klikk på Neste og lagre denne nye applikasjonsgruppen.

For å konfigurere autorisasjons- og token-endepunktkoblingene, erstatt "server1.domain.com" i https://server1.domain.com/adfs/oauth2/authorize og https://server1.domain.com/adfs/oauth2/token med FQDN-en til ADFS-serveren.

Eksempel på autorisert URL:
https://[ADFS-SERVER FQDN]/adfs/oauth2/authorize

Eksempel på token-URL:
https://[ADFS-SERVER FQDN]/adfs/oauth2/token

Note:
I fanen Godkjenning i dialogboksen Vertsalternativer i administrasjonskonsollen må du velge enten Logg brukere automatisk på en lokal Windows-konto eller Logg brukere automatisk på domenekontoene deres . Hvis ett av disse OpenID Connect-godkjenningsalternativene ikke er valgt, vil ikke påloggingen fullføres.  

Orakel

Følgende trinn og innstillinger kreves for å opprette en applikasjon i Oracle Identity Cloud for bruk med en GO-Global Host.

1. Logg på Oracle Identity Cloud Service.
2. Gå til Programmer , klikk på Legg til og velg Konfidensiell applikasjon .
3. Skriv inn et navn for applikasjonen.
4. For URL-adressen for tilbakeringing , bruk URL-adressen til GO-Global callback.html. (For eksempel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. Klikk på Neste for å konfigurere klienten.
6. For Tillatte tildelingstyper velger du Autorisasjonskode .
7. Hvis du trenger å bruke URL-er som ikke er HTTPS, velger du alternativet Tillat URL-er som ikke er HTTPS .
8. Bruk GO-Global Host callback.html for omdirigerings-URL-en.
(For eksempel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. Sett Omgå samtykke til Aktivert.

Alle andre alternativer kan bruke standardinnstillingene som er angitt av Oracle.

Etter at du har opprettet applikasjonen, klikker du på applikasjonen for å se detaljene. Klient-ID-en og klienthemmeligheten finner du i Konfigurasjon-fanen | Generell informasjon. Disse må kopieres til OpenID Connect-innstillingene på GO-Global Host.

Eksempel på autorisert URL:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code

Eksempel på token-URL:
https://tenant-base-url/oauth2/v1/token?

Note:
I fanen Godkjenning i dialogboksen Vertsalternativer i administrasjonskonsollen må du velge enten Logg brukere automatisk på en lokal Windows-konto eller Logg brukere automatisk på domenekontoene deres . Hvis ett av disse OpenID Connect-godkjenningsalternativene ikke er valgt, vil ikke påloggingen fullføres.  

Okta Identity Cloud

Følgende trinn og innstillinger kreves for å opprette en applikasjon i Okta Identity Cloud for bruk med en GO-Global Host. Alle innstillinger som ikke er nevnt, kan beholdes med standardverdien.

For mer informasjon om Okta, besøk:
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm

1. Gå til Programmer fra Okta Identity Cloud-dashbordet.
2. Klikk på knappen Opprett appintegrasjon .
3. Velg OIDC – OpenID Connect som påloggingsmetode.
4. Velg Webapplikasjon , som vises etter at du har valgt OIDC i trinn 3.
5. Velg Nettapplikasjon for Programtype.
6. Klikk på Neste
7. Skriv inn et navn i Navn- feltet.
8. Velg Klient som handler på vegne av seg selv , og merk av i boksen for Klientlegitimasjon .
9. Velg Klient som opptrer på vegne av en bruker , og merk av i boksen for Autorisasjonskode. Ikke velg Implisitt (hybrid).
10. For omdirigerings-URI-er for pålogging, bruk verts-FQDN-en din her: http://MyHost.MyDomain.com:491/callback.html
11. Tildelinger: Bruk denne til å konfigurere hvilke brukere som skal ha tilgang. Eller dette kan hoppes over og konfigureres senere, etter at appen er opprettet.
12. I Oppgaver velger du Begrens tilgang til valgte grupper eller Hopp over gruppeoppgave for nå og oppretter appen uten å tilordne en gruppe.
13. Klikk på Lagre for å opprette denne nye appintegrasjonen.
14. Velg den nye webappen for å åpne redigeringssidene.
15. Fra fanen Generelt kopierer og lagrer du klient-ID-en og klienthemmeligheten . Disse må kopieres til OpenID Connect-innstillingene på GO-Global Host.

GO-Globale vertsinnstillinger
I GO-Global-administrasjonskonsollen for OIDC-innstillingene bruker du følgende Okta-autorisasjons- og token-URL-er og ditt egendefinerte Okta-domene for DITT-OKTA-domene.
https://DITT-OKTA-Domene.okta.com/oauth2/default/v1/authorize
https://DITT-OKTA-Domene.okta.com/oauth2/default/v1/token

Eksempel på autorisert URL:
https://dev-111222.okta.com/oauth2/default/v1/authorize

Eksempel på token-URL:
https://dev-111222.okta.com/oauth2/default/v1/token

Note:

I fanen Godkjenning i dialogboksen Vertsalternativer i administrasjonskonsollen må du velge enten Logg brukere automatisk på en lokal Windows-konto eller Logg brukere automatisk på domenekontoene deres . Hvis ett av disse OpenID Connect-godkjenningsalternativene ikke er valgt, vil ikke påloggingen fullføres.  

Hvis du vil ha mer informasjon om Okta, kan du gå til: https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.

ManageEngine – Identitetsbehandling Plus

Følgende trinn er nødvendige for å opprette et program i Identity Manager Plus for bruk med en GO-Global Host.

1. Gå til fanen Program fra administrasjonssiden for IdentityManager.
2. Klikk på Legg til program .
3. Skriv inn et applikasjonsnavn og et domenenavn .
4. Velg fanen OAuth/OpenID-tilkobling .
5. Aktiver alternativet for Aktiver OAuth/OpenID-tilkobling .
6. Sett Støttet SSO-flyt til SP initiert .
7. Bruk URL-en for GO-Global Host callback.html som URL-adresse(r) for omdirigering av pålogging .
8. For Svartype , sørg for at kun Autorisasjonskode er valgt.

9. Aktiver Tillat oppdateringstoken .
10. Sett gyldighet for tilgangstoken til 3600 sekunder .
11. Sett nøkkelalgoritmen til HS256 .
12. Sett klientautentiseringsmodus til Velg klienthemmelighet grunnleggende, klienthemmelighetspost .
13. Klikk på Legg til program .

Klient-ID-en og klienthemmeligheten samt URL-adressene for token og autorisasjon finner du i Identity Manager Plus | Applikasjoner. Klikk på Detaljer -lenken i kolonnen IdP-detaljer .

Eksempel på autorisert URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize

Eksempel på token-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token

Nøkkelkappe

GO-Global støtter KeyCloak med standard autorisasjons-URL.

Administratorer kan angi feltet i ID-tokenet som inneholder brukernavnet. Som standard prøver GO-Global å hente brukernavnet fra e-postfeltet som leveres av KeyCloak, men det kan konfigureres til å hente brukernavnet fra andre felt via OpenIDConnectUserNameField -egenskapen i HostProperties.xml-filen.

Slik angir du egenskapen OpenIDConnectUserNameField

‍
1. Stopp applikasjonspubliseringstjenesten .
2. Åpne %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml i et tekstredigeringsprogram.
3. Finn egenskapen OpenIDConnectUserNameField og endre verdien til navnet på kravet i brukerens OIDC ID-token som inneholder UPN-en som GO-Global skal bruke for å autentisere brukeren på Windows.
4. Lagre HostProperties.xml-filen.
5. Start applikasjonspubliseringstjenesten på nytt.

Google Workspace/Cloud Identity

Før du starter, må du sørge for at du enten har Premium Google Workspace med et egendefinert domene eller Cloud Identity Premium med et egendefinert domene. Bekreft at organisasjonen din finnes i Google Admin Console. For nye kontoer kan det ta litt tid å opprette dem automatisk for det egendefinerte domenet ditt. Opprett nye brukere om nødvendig. GraphOn anbefaler å håndheve 2-trinnsbekreftelse for alle brukere.

‍
Google Cloud Console-veiledning
A. Opprett et nytt prosjekt (f.eks. GG-OIDC-Project) og naviger til det nyopprettede prosjektet.

B. Konfigurer en OAuth-samtykkeskjerm
1. Gå til API-er og tjenester. Velg OAuth-samtykkeskjermen fra navigasjonsfeltet til venstre. Alternativt kan du velge Merkevarebygging til venstre fra den nye Google Auth Platform-siden.
2. Velg Brukertype: Intern.
3. Angi appnavn (f.eks. GG-Auth-Consent).
4. I boksen for programstartside skriver du inn URL-en til GO-Global Host eller lastfordeler. (For eksempel https://myapp.example.com)
5. I boksen Autorisert domene skriver du inn toppnivådomenet (TLD) til GO-Global Host. (For eksempel example.com)
6. Klikk på Lagre og fortsett .
7. Hopp over å legge til omfang med mindre det kreves av organisasjonens retningslinjer.
8. Klikk på Lagre og fortsett .

C. Opprett en OAuth-klient-ID
1. Gå til API-er og tjenester | Legitimasjon | Opprett legitimasjon | OAuth-klient-ID. Alternativt kan du velge Klienter til venstre på den nye Google Auth Platform-siden.
2. Velg Nettapplikasjon for Programtype.
3. Gi OAuth-klienten et navn. (f.eks. GG-Auth-Client)
4. Legg til en autorisert omdirigerings-URI ved å bruke URL-en til GO-Global-webserveren eller URL-en til lastbalansereren med suffikset /callback.html (for eksempel https://myapp.example.com:491/callback.html). Utelat :491 hvis frontenden til lastbalansereren lytter på port 443.
5. Opprett klienten.
6. Lagre den genererte klient-ID-en og klienthemmeligheten sikkert.

GO-Global vertskonfigurasjon

Konfigurer følgende innstillinger i GO-Global-verten(e):
1. Gå til Verktøy | Vertsalternativer | Autentisering.
2. Fjern avmerkingen i alle boksene.
3. Aktiver OpenID Connect-autentisering .
4. Velg enten Logg brukere automatisk på lokale Windows-kontoer eller Logg brukere automatisk på domenekontoene deres .
5. Skriv inn klient-ID-strengen fra OpenID Connect-serverkonfigurasjonen i Klient-ID- boksen.
6. Skriv inn strengen Klienthemmelighet fra OpenID Connect-serverkonfigurasjonen i feltet Klienthemmelighet .
7. Skriv inn autorisasjons-URL-en som brukes til å autentisere brukere med OpenID Connect-serveren din i feltet Autorisasjons-URL . For eksempel,
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. Skriv inn token-URL-en som brukes til å autentisere brukere med OpenID Connect-serveren din i Token-URL- boksen. For eksempel https://oauth2.googleapis.com/token
9. I boksen Omdirigerings-URL skriver du inn URL-en til GO-Global-webserveren, tredjepartswebserveren eller lastfordeleren din, med suffikset /callback.html.
(For eksempel https://myapp.example.com:491/callback.html). Utelat :491 hvis lastbalanseringsgrensesnittet lytter på port 443.
10. Klikk på OK .

Konklusjon

Konfigurering av sikker og pålitelig autentisering er viktig for enhver GO-Global-distribusjon. Denne tekniske veiledningen veileder administratorer gjennom hele prosessen med å sette opp OpenID Connect (OIDC) på tvers av store identitetsleverandører – inkludert Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak og Google Workspace. Med klare, trinnvise instruksjoner sikrer den at GO-Global Host er riktig integrert med moderne identitetsplattformer for sømløs brukertilgang og forbedret sikkerhet.

Er du en uavhengig leverandør av programvare (ISV) som utforsker levering av skybaserte applikasjoner? Kontakt oss for å finne ut hvordan GO-Global kan hjelpe deg med å effektivisere programvaretilgang for sluttbrukerne dine. Eller last ned en gratis prøveperiode for å teste det selv.