Konfigurera OpenID Connect
Inledning
Att konfigurera säker och tillförlitlig autentisering är avgörande för alla GO-Global-installationer. Denna tekniska guide leder administratörer genom hela processen för att konfigurera OpenID Connect (OIDC) hos de största identitetsleverantörerna – däribland Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak och Google Workspace. Med tydliga, stegvisa instruktioner säkerställer den att din GO-Global Host integreras korrekt med moderna identitetsplattformar för smidig användaråtkomst och förbättrad säkerhet.
Azure
Följande steg krävs för att skapa en Azure-applikationsregistrering för användning med Microsoft EntraID (tidigare Azure AD) för att autentisera användare som ansluter till GO-Global-värdar. Detta sker med hjälp av OAuth2 för Microsoft Identity version 2.0.
Steg 1: Registrera en ny ansökan
- Gå till: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
- Registrera den nya applikationen:
- Under ”Stödda kontotyper” väljer du ”Endast konton i denna organisationskatalog” (Endast standardkatalog – Enskild kund)
- Under ”Omdirigerings-URL” väljer du ”Webb” som typ. I fältet ”Värde” anger du en omdirigerings-URL för din domän. Till exempel: https://example.com/callback.html
Steg 2: Konfigurera varumärkesinställningar och egenskaper
Kontrollera under ”Varumärke och egenskaper” att utgivarens domän är inställd på rätt domän. Till exempel example.com
Steg 3: Skapa en klienthemlighet
- Gå till Certifikat och hemligheter.
- Klicka på ”Ny klienthemlighet” och konfigurera inställningarna.
- Kopiera det hemliga värdet och spara det på ett säkert ställe.
Steg 4: Konfigurera tokeninställningarna
- Gå till Tokenkonfiguration.
- Klicka på Lägg till valfri anspråk.
- Konfigurera:
- Token-typ: ID
- Använd: Välj upn
- Klicka på Lägg till.
- Aktivera alternativet Aktivera behörigheten för Microsoft Graph-profilen.
- Klicka på Lägg till för att spara.
Obs!
När du konfigurerar en appregistrering med Azure Active Directory B2C finns det inget fönster för tokenkonfiguration i Azure Portals användargränssnitt. Lägg istället till optionalClaims via manifest-JSON-filen.
Till exempel:
"optionalClaims": {
"accessToken": [],
"idToken": [
{
"additionalProperties": [],
"essential": false,
"name": "upn",
"source": null
}
],
"saml2Token": []
},Steg 5: Justera API-behörigheter
GO-Global använder profilbehörigheter istället för User.Read. Ta bort onödiga behörigheter:
- Gå till API-behörigheter.
- Leta reda på User.Read och klicka på Ta bort behörighet.
- Bekräfta genom att klicka på Ja, ta bort.
Kontrollera att den delegerade behörigheten för Microsoft Graph-profilen finns med i listan. (Den bör läggas till automatiskt.)
Steg 6: Konfigurera autentisering
- Gå till Värdalternativ | Autentisering i administratörskonsolen.
- Konfigurera följande:
- Avmarkera alla övriga autentiseringsalternativ.
- Välj OpenID Connect-autentisering.
- Välj ett alternativ:
- Logga in användare automatiskt på ett lokalt Windows-konto, eller
- Logga in användare automatiskt på deras domänkonton.
- Klient-ID: Kopiera applikations-ID:t (klient-ID:t) från översiktssidan för Azure App Registration.
- Klientnyckel: Klistra in den nyckel som du kopierade tidigare.
- Autentiserings-URL: Hämta katalog-ID: t (TENANTID) från översiktssidan för Azure App Registration. Ersätt TENANTID i: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
- Token-URL: Hämta katalog-ID:t (TENANTID) från översiktssidan för Azure App Registration. Ersätt TENANTID i: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
- Omdirigerings-URL: Använd samma URL som angavs vid appregistreringen (t.ex. https://example.com/callback.html)
3. Klicka på OK för att spara.
Obs!
Se till att inställningarna för implicit behörighet och hybridflöden inte är aktiverade i Azure App Registration, under menyn Autentisering.
ADFS
Följande steg och inställningar krävs för att skapa en företagsapplikation i ADFS för användning med en GO-Global-värd.
1. Öppna ADFS-hanteringsverktyget på ADFS-Windows-servern.
2. Högerklicka på ”Application Groups ” i navigeringsträdet till vänster och välj ”Add Application Group” för att öppna guiden.
3. Välj ”Server application” i området ”Standalone applications” i guiden och klicka på ”Next”.
4. Ange ett namn för applikationen, kopiera och spara klientidentifieraren (Client ID).
5. Ange GO-Globals återuppringnings-URL i fältet Redirect URI och klicka på Next.
6. Välj Generate a shared secret och kopiera den för att använda i Shared Secret.
7. Klicka på Next.
8. Klicka på Nästa och spara den här nya applikationsgruppen.
För att konfigurera länkarna för auktoriserings- och token-slutpunkter, ersätt "server1.domain.com" i https://server1.domain.com/adfs/oauth2/authorize och https://server1.domain.com/adfs/oauth2/token med FQDN för ADFS-servern.
Exempel på URL för auktorisering:
https://[ADFS-SERVERNS FQDN]/adfs/oauth2/authorize
Exempel på URL för token:
https://[ADFS-SERVERNS FQDN]/adfs/oauth2/token
Obs!
På fliken Autentisering i dialogrutan Värdalternativ i administratörskonsolen måste du välja antingen ”Logga in användare automatiskt på ett lokalt Windows-konto ” eller ”Logga in användare automatiskt på deras domänkonton”. Om inget av dessa OpenID Connect-autentiseringsalternativ är valt kommer inloggningen inte att slutföras.
Oracle
Följande steg och inställningar krävs för att skapa en applikation i Oracle Identity Cloud för användning med en GO-Global-värd.
1. Logga in på Oracle Identity Cloud Service.
2. Gå till ”Applications”, klicka på ”Add” och välj ”Confidential Application”.
3. Ange ett namn för applikationen.
4. Använd länken till GO-Global callback.html som URL för ”Linking callback URL”. (Till exempel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. Klicka på Nästa för att konfigurera klienten.
6. För Tillåtna beviljningstyper väljer du Auktoriseringskod.
7. Om du behöver använda icke-HTTPS-URL:er väljer du alternativet Tillåt icke-HTTPS-URL:er.
8. För omdirigerings-URL:en, använd GO-Global Host callback.html.
(Till exempel: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. Ställ in Bypass Consent på Enabled.
Alla andra alternativ kan använda de standardinställningar som Oracle har angett.
Efter att du har skapat applikationen, klicka på applikationen för att visa detaljerna. Klient-ID och klienthemlighet finns under fliken Konfiguration | Allmän information. Dessa måste kopieras till OpenID Connect-inställningarna på GO-Global-värden.
Exempel på auktoriserings-URL:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code
Exempel på token-URL:
https://tenant-base-url/oauth2/v1/token?
Obs!
På fliken Autentisering i dialogrutan Värdalternativ i administratörskonsolen måste du välja antingen ”Logga in användare automatiskt på ett lokalt Windows-konto ” eller ”Logga in användare automatiskt på deras domänkonton”. Om inget av dessa OpenID Connect-autentiseringsalternativ är valt kommer inloggningen inte att slutföras.
Okta Identity Cloud
Följande steg och inställningar krävs för att skapa en applikation i Okta Identity Cloud för användning med en GO-Global Host. Alla inställningar som inte nämns kan lämnas på sina standardvärden.
För mer information om Okta, besök:
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm
1. Gå till Applications från Okta Identity Cloud-instrumentpanelen.
2. Klicka på knappen Skapa appintegration.
3. Välj OIDC – OpenID Connect som inloggningsmetod.
4. Välj Webapplikation, som visas efter att du har valt OIDC i steg 3.
5. Välj Webapplikation som applikationstyp.
6. Klicka på Nästa
7. Ange ett namn i fältet Namn.
8. Välj Klient som agerar för egen räkning och markera rutan för Klientuppgifter.
9. Välj Klient som agerar för en användares räkning och markera rutan för Auktoriseringskod. Välj inte Implicit (hybrid).
10. För Inloggningsomdirigerings-URI:er använder du ditt värd-FQDN här: http://MyHost.MyDomain.com:491/callback.html
11. Tilldelningar: Använd detta för att konfigurera vilka användare som ska ha åtkomst. Detta kan också hoppas över och konfigureras senare, efter att appen har skapats.
12. I Tilldelningar väljer du att Begränsa åtkomst till valda grupper eller Hoppa över grupptilldelning för tillfället och skapa appen utan att tilldela en grupp.
13. Klicka på Spara för att skapa denna nya appintegration.
14. Välj den nya webbappen för att öppna redigeringssidorna.
15. Från fliken Allmänt kopierar och sparar du klient-ID och klienthemligheten. Dessa måste kopieras till OpenID Connect-inställningarna på GO-Global Host.
GO-Global-värdinställningar
I GO-Global Admin Console, under OIDC-inställningarna, använder du följande Okta-autentiserings- och token-URL:er samt din anpassade Okta-domän i stället för YOUR-OKTA-Domain.
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token
Exempel på auktoriserings-URL:
https://dev-111222.okta.com/oauth2/default/v1/authorize
Exempel på token-URL:
https://dev-111222.okta.com/oauth2/default/v1/token
Obs!
På fliken Autentisering i dialogrutan Värdalternativ i administratörskonsolen måste du välja antingen ”Logga in användare automatiskt på ett lokalt Windows-konto ” eller ”Logga in användare automatiskt på deras domänkonton”. Om inget av dessa OpenID Connect-autentiseringsalternativ är valt kommer inloggningen inte att slutföras.
För mer information om Okta, besök: https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.
ManageEngine – Identity Manager Plus
Följande steg krävs för att skapa en applikation i Identity Manager Plus för användning med en GO-Global Host.
1. Gå till fliken Applikationer på Identity Managers administrationssida.
2. Klicka på Lägg till applikation.
3. Ange ett applikationsnamn och ett domännamn.
4. Välj fliken OAuth/OpenID Connect.
5. Aktivera alternativet för Enable OAuth/OpenID Connect.
6. Ställ in Supported SSO Flow på SP Initiated.
7. Använd GO-Global Host callback.html-URL:en för Login Redirect URL(s).
8. För Response Type, se till att endast Authorization Code är valt.
9. Aktivera ”Tillåt uppdateringstoken”.
10. Ställ in giltighetstiden för åtkomsttoken till 3600 sekunder.
11. Ställ in nyckelalgoritmen till HS256.
12. Ställ in klientautentiseringsläget till ”Välj klienthemlighet Basic, klienthemlighet Post”.
13. Klicka på ”Lägg till applikation”.
Klient-ID, klienthemlighet samt token- och auktoriserings-URL:er finns i Identity Manager Plus | Applikationer. Klicka på länken Detaljer i kolumnen IdP-detaljer.
Exempel på auktoriserings-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize
Exempel på token-URL:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token
KeyCloak
GO-Global stöder KeyCloak med standard-URL:en för auktorisering.
Administratörer kan ange vilket fält i ID-token som innehåller användarnamnet. Som standard försöker GO-Global hämta användarnamnet från det e-postfält som tillhandahålls av KeyCloak, men det går att konfigurera så att användarnamnet hämtas från andra fält via egenskapen OpenIDConnectUserNameField i filen HostProperties.xml.
Så här ställer du in egenskapen OpenIDConnectUserNameField
1. Stäng av tjänsten Application Publishing Service.
2. Öppna filen %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml i en textredigerare.
3. Leta reda på egenskapen OpenIDConnectUserNameField och ändra värdet till namnet på den anspråksuppgift i användarens OIDC-ID-token som innehåller det UPN som GO-Global ska använda för att autentisera användaren i Windows.
4. Spara filen HostProperties.xml.
5. Starta om Application Publishing Service.
Google Workspace/Cloud Identity
Innan du börjar ska du se till att du har antingen Google Workspace Premium med en egen domän eller Cloud Identity Premium med en egen domän. Kontrollera att din organisation finns i Google Admin Console. För nya konton kan det ta lite tid innan din egen domän skapas automatiskt. Skapa nya användare om det behövs. GraphOn rekommenderar att du aktiverar tvåstegsverifiering för alla användare.
Guide till Google Cloud Console
A. Skapa ett nytt projekt (t.ex. GG-OIDC-Project) och gå till det nyskapade projektet.
B. Konfigurera en OAuth-samtyckesskärm
1. Gå till API:er och tjänster. Välj OAuth-samtyckesskärm i navigeringsfältet till vänster. Alternativt kan du, på den nya sidan för Google Auth Platform, välja Branding till vänster.
2. Välj Användartyp: Intern.
3. Ange appnamn (t.ex. GG-Auth-Consent).
4. I rutan Application home page skriver du in URL:en till GO-Global Host eller lastbalanseraren. (Till exempel https://myapp.example.com)
5. I rutan Authorized domain skriver du in toppdomänen (TLD) för GO-Global Host. (Till exempel example.com)
6. Klicka på Save and Continue.
7. Hoppa över att lägga till omfattningar om det inte krävs enligt din organisations policy.
8. Klicka på Spara och fortsätt.
C. Skapa ett OAuth-klient-ID
1. Gå till API:er och tjänster | Inloggningsuppgifter | Skapa inloggningsuppgifter | OAuth-klient-ID. Alternativt kan du på den nya Google Auth Platform-sidan välja Klienter till vänster.
2. Välj Webapplikation för Applikationstyp.
3. Namnge OAuth-klienten. (t.ex. GG-Auth-Client)
4. Lägg till en auktoriserad omdirigerings-URI med hjälp av din GO-Global-webbserver-URL eller lastbalanserare-URL med suffixet /callback.html (t.ex. https://myapp.example.com:491/callback.html). Utelämna :491 om lastbalanserarens frontend lyssnar på port 443.
5. Skapa klienten.
6. Förvara det genererade klient-ID:t och den genererade klienthemligheten på ett säkert sätt.
GO-Global värdkonfiguration
Konfigureraföljande inställningar i din(a) GO-Global-värd(ar):
1. Gå till Verktyg | Värdalternativ | Autentisering.
2. Avmarkera alla kryssrutor.
3. Aktivera OpenID Connect-autentisering.
4. Välj antingen ”Logga in användare automatiskt på lokala Windows-konton ” eller ”Logga in användare automatiskt på deras domänkonton”.
5. Skriv in strängen för klient-ID från din OpenID Connect-serverkonfiguration i rutan Klient-ID.
6. Skriv in strängen för klienthemligheten från din OpenID Connect-serverkonfiguration i rutan Klienthemlighet.
7. Skriv in den auktoriserings-URL som används för att autentisera användare med din OpenID Connect-server i rutan Auktoriserings-URL. Till exempel:
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. Skriv in den token-URL som används för att autentisera användare med din OpenID Connect-server i rutan Token-URL. Till exempel: https://oauth2.googleapis.com/token
9. I rutan Omdirigerings-URL anger du URL:en till din GO-Global-webbserver, tredjepartswebbserver eller lastbalanserare, med suffixet /callback.html.
(Till exempel https://myapp.example.com:491/callback.html). Utelämna :491 om frontenden på din lastbalanserare lyssnar på port 443.
10. Klicka på OK.
Slutsats
Att konfigurera säker och tillförlitlig autentisering är avgörande för alla GO-Global-installationer. Denna tekniska guide leder administratörer genom hela processen för att konfigurera OpenID Connect (OIDC) hos de största identitetsleverantörerna – däribland Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak och Google Workspace. Med tydliga, stegvisa instruktioner säkerställer den att din GO-Global Host integreras korrekt med moderna identitetsplattformar för smidig användaråtkomst och förbättrad säkerhet.
Är du en ISV som utforskar molnbaserad applikationsleverans? Kontakta oss för att få veta hur GO-Global kan hjälpa dig att effektivisera programvarutillgången för dina slutanvändare. Eller ladda ner en gratis testversion för att testa själv.
