Облако Идентий Брокер Сервис

1. Обзор - сервис miniOrange Identity Broker
2. Как включить единый вход между приложениями?
3. Интеграция SAML / ADFS
4. Интеграция с OAuth
5. Интеграция OpenID
6. Загрузите наш miniOrange SampleApp
7. ДЖАВА
8. PHP
9. питон
10. Шаг 2. Установите доверие между miniOrange и приложением A, из которого инициируется единый вход.
11. Шаг 3: Установите доверительные отношения между miniOrange и Приложением B, в котором вы должны выполнить...
12. Как использовать сопоставление доменов для настройки двух источников идентификации?
13. Шаг 1. Настройте IdP в источниках идентификации
14. Шаг 2. Установите доверие между поставщиком услуг и службой Identity Broker
15. Шаг 3. Установите доверие между поставщиком удостоверений и службой Identity Broker
16. Тестовые конфигурации
17. Что такое услуга Identity Broker?

Обзор - сервис miniOrange Identity Broker

С сервисом miniOrange Identity Broker вы можете одним щелчком мыши делегировать все свои требования к единому входу, управление пользователями, двухфакторную аутентификацию и даже доступ на основе риска, и сосредоточиться на своем экономическом обосновании. Мы можем интегрироваться с любым типом приложения, даже если оно не понимает ни одного стандартного протокола, такого как SAML, OpenId Connect или OAuth. Служба единого входа miniOrange может установить доверие между двумя приложениями через защищенную конечную точку https и автоматическое сопоставление пользователей для достижения единого входа.

Как включить единый вход между приложениями?

Шаг 1: Определите ваш основной источник удостоверений и настройте его в miniOrange.

1. Интеграция SAML / ADFS - если ваш источник идентификации понимает saml, нажмите здесь, чтобы увидеть подробности.
Например, если у вас есть ADFS, Okta, Salesforce, SimpleSamlPhp, Shibboleth, PING, Centrify, OpenAM, IBM Tivoli Identity Manager, RSA FIM (Federated Identity Manager), Oracle Identity Manager, miniOrange и т. Д.

Интеграция SAML / ADFS

Наша брокерская служба SAML будет выступать в качестве поставщика услуг для любого ВПЛ по вашему выбору. И вам не нужно беспокоиться о понимании протокола SAML вообще. Он может работать с ADFS, Okta, salesforce, SimpleSamlPhp, Shibboleth, PING, RSA, Centrify, One Login, miniOrange или любым другим провайдером идентификации saml (Idp). Эта служба SAML возвращает все атрибуты, предоставленные IdP, вместе с именем пользователя, вошедшего в систему. Затем вы можете использовать эти атрибуты для входа пользователя в ваше приложение.

Примечание: Вы можете перейти к Интеграциям -> Интеграция с клиентским приложением, чтобы получить свой ключ клиента

2. Интеграция OAuth - если ваш источник идентификации понимает oauth, нажмите здесь, чтобы увидеть подробности.
Например - если у вас есть Facebook, Google, Linkedin, Twitter, Windows Live и т. Д.

Интеграция с OAuth

Настройка и использование брокерской службы miniOrange OAUTH

• Для настройки и использования сервисов miniOrange OAUTH Broker вы можете создать бесплатную пробную учетную запись для бизнеса. Вот ,

• Войдите в консоль miniOrange по адресу https://login.xecurify.com/moas/login

• Теперь перейдите в раздел Интеграции -> Интеграция пользовательских приложений и получите ключ клиента, ключ API клиента, ключ токена клиента.





• Перейдите в Приложения -> Настроить приложения -> Клиент OAuth2 для настройки приложения OAUTH2





• Вы увидите OAuth Apps, перечисленные здесь. Нажмите на любое из приложений здесь, а затем нажмите Добавить приложение





• Для Facebook:

  • Оставьте поле Scope пустым.
  • Создайте аккаунт разработчиков на Facebook.
  • Создайте приложение здесь.
  • В разделе «Расскажите нам о своем сайте» введите https://login.xecurify.com/moas/oauth/client/callback в поле URL сайта.
  • Соберите идентификатор приложения и секрет приложения, перейдя в « Мои приложения» -> (название вашего приложения).
  • Введите Идентификатор приложения и Секрет приложения в поля Идентификатор клиента и Секрет клиента соответственно в Приложениях -> Добавить учетные данные приложения .
  • Нажмите на кнопку Сохранить , чтобы добавить приложение Facebook.
  • Теперь, чтобы интегрировать Login With Facebook, добавьте кнопку и добавьте к ней следующий URL.
    https://login.xecurify.com/moas/oauth/client/authorize?token= ## token ## & id = ## customer_key ## & encrypted = <true, false> & app = facebook_oauth & returnurl = ## return_url ##
    
    • ## токен ## в приведенном выше URL может быть зашифрован или незашифрован. Маркер должен содержать идентификатор клиента (вы получили от EVE Online), метку времени (текущую метку времени в миллисекундах) и ключ API (ключ API клиента, который вы собрали выше), разделенный двоеточием.
    • ## customer_key ## - это ключ клиента, который вы собрали выше.
    • Значение зашифрованного значения может быть истинным или ложным в зависимости от того, зашифрован токен или нет.
    • ## returnurl ## будет URL, куда вы хотите перенаправить пользователя после входа в систему с Facebook.




• Для Google:

  • Введите https://www.googleapis.com/auth/plus.login в поле Область действия.
  • Посетите веб-сайт Google для разработчиков console.developers.google.com
  • В Google создайте новый проект и включите API Google+. Это позволит вашему сайту получить доступ к API Google+
  • В Google предоставьте https://login.xecurify.com/moas/oauth/client/callback для нового URI перенаправления нового проекта.
  • В Google вы также должны настроить экран согласия с вашим адресом электронной почты и названием продукта. Это то, что Google будет отображать пользователям, когда их просят предоставить доступ к вашему сайту / приложению.
  • В Google в разделе API & auth -> Credentials получите Client Id, нажав на кнопку Create Client Id.
  • Соберите идентификатор клиента и секрет клиента
  • Введите Идентификатор приложения и Секрет приложения в поля Идентификатор клиента и Секрет клиента соответственно в Приложениях -> Добавить учетные данные приложения .
  • Нажмите на кнопку Сохранить , чтобы добавить приложение Google.
  • Теперь, чтобы интегрировать Login с Google, добавьте кнопку и добавьте следующий URL к ней.
    https://login.xecurify.com/moas/oauth/client/authorize?token= ## token ## & id = ## customer_key ## & encrypted = <true, false> & app = google_oauth & returnurl = ## return_url ##
    
    • ## токен ## в приведенном выше URL может быть зашифрован или незашифрован. Маркер должен содержать идентификатор клиента (вы получили от EVE Online), метку времени (текущую метку времени в миллисекундах) и ключ API (ключ API клиента, который вы собрали выше), разделенный двоеточием.
    • ## customer_key ## - это ключ клиента, который вы собрали выше.
    • Значение зашифрованного значения может быть истинным или ложным в зависимости от того, зашифрован токен или нет.
    • ## returnurl ## будет URL, куда вы хотите перенаправить пользователя после входа в систему с EVE Online.

• Для LinkedIn:

  • Оставьте поле Scope пустым.
  • Если вы еще этого не сделали, создать приложение , Если у вас есть приложение, выберите его, чтобы изменить его настройки.
  • После создания приложения соберите Client ID и CLient Secret отсюда.
  • Введите https://login.xecurify.com/moas/oauth/client/callback в URL авторизованного перенаправления и нажмите кнопку Добавить.
  • Теперь нажмите кнопку Обновить , чтобы сохранить настройки.
  • Введите Идентификатор клиента и Секрет клиента в поля Идентификатор клиента и Секрет клиента соответственно в Приложениях -> Добавить учетные данные приложения .
  • Нажмите на кнопку Сохранить , чтобы добавить LinkedIn.
  • Теперь, чтобы интегрировать Login с LinkedIn, добавьте кнопку и добавьте следующий URL к ней.
    https://login.xecurify.com/moas/oauth/client/authorize?token= ## token ## & id = ## customer_key ## & encrypted = <true, false> & app = linkedin_oauth & returnurl = ## return_url ##
    
    • ## токен ## в приведенном выше URL может быть зашифрован или незашифрован. Маркер должен содержать идентификатор клиента (вы получили от EVE Online), метку времени и ключ API (ключ API клиента, который вы собрали выше), разделенный двоеточием.
    • ## customer_key ## - это ключ клиента, который вы собрали выше.
    • Значение зашифрованного значения может быть истинным или ложным в зависимости от того, зашифрован токен или нет.
    • ## returnurl ## будет URL, куда вы хотите перенаправить пользователя после входа в систему с EVE Online.

• Для EVE Online:

  • Оставьте поле Scope пустым.
  • В EVE Online зайдите в службу поддержки. Запрос на включение OAuth для стороннего приложения.
  • Добавить новый проект / приложение. Создать идентификатор клиента и секрет клиента.
  • Введите Идентификатор клиента и Секрет клиента в поля Идентификатор клиента и Секрет клиента соответственно.
  • Нажмите на кнопку Сохранить , чтобы добавить EVE Online.
  • Теперь, чтобы интегрировать Login с Eveonline, добавьте кнопку и добавьте к ней следующий URL.
    https://login.xecurify.com/moas/oauth/client/authorize?token= ## token ## & id = ## customer_key ## & encrypted = <true, false> & app = eveonline_oauth & returnurl = ## return_url ##
    
    • ## токен ## в приведенном выше URL может быть зашифрован или незашифрован. Маркер должен содержать идентификатор клиента (вы получили от EVE Online), метку времени и ключ API (ключ API клиента, который вы собрали выше), разделенный двоеточием.
    • ## customer_key ## - это ключ клиента, который вы собрали выше.
    • Значение зашифрованного значения может быть истинным или ложным в зависимости от того, зашифрован токен или нет.
    • ## returnurl ## будет URL, куда вы хотите перенаправить пользователя после входа в систему с EVE Online.

Вернуться к началу

• 3. Интеграция OpenID Connect - если ваш источник идентификации понимает openid connect, нажмите здесь, чтобы увидеть подробности.


Например - если у вас есть Salesforce, Amazon и т. Д. В качестве OpenID Connect Idp. и т.п.

Интеграция OpenID

Настройте и используйте miniOrange OpenID Connect Integration.

Прежде чем ваше приложение сможет использовать систему аутентификации miniOrange Open ID Connect для входа пользователя, вы должны настроить приложение в консоли администратора miniOrange для получения учетных данных Open ID Connect, установить URI перенаправления и (необязательно) и добавить имя приложения.

Получить учетные данные OpenID Connect

Для аутентификации пользователей и получения доступа к API-интерфейсам miniOrange необходимы учетные данные OpenID Connect, в том числе идентификатор клиента и секрет клиента.

Чтобы получить учетные данные, выполните следующие действия:

• Перейдите в консоль администратора miniOrange.

• Создайте приложение, выбрав «Приложения»> «Настроить приложения».

• В имени приложения введите «OpenId Connect».

• Введите информацию о своем клиенте и сохраните.

• После того как вы настроили приложение. Запишите идентификатор клиента и секрет клиента, выбрав «Приложения»> «Просмотреть приложения», затем выберите приложение Open Id и нажмите «Изменить».

Обратите внимание, что не все типы учетных данных используют как идентификатор клиента, так и секрет клиента и не будут перечислены в документе, если они не используются.

Итак, теперь, когда вы создали приложение для OpenID Connect. Вам необходимо создать политику для этого, чтобы позволить пользователю проходить аутентификацию с помощью наших различных методов строгой аутентификации.

Шаг 2. Создайте политику

• Перейдите в консоль администратора miniOrange.

• Перейдите в раздел Политика> Политика аутентификации приложения. Затем выберите вкладку «Добавить политику».

• В названии приложения выберите приложение OpenID, которое вы создали.

• Введите настройки конфигурации и Сохранить.

Загрузите наш miniOrange SampleApp

Вы можете загрузить наш образец приложения miniOrange, написанный на JAVA / PHP / PYTHON, чтобы продемонстрировать наш поток OpenId Connect или создать клиентское приложение OpenId Connect для себя.

ДЖАВА

кликните сюда ссылаться на пример руководства по Java-приложениям

PHP

кликните сюда скачать пример приложения miniOrange OpenId для PHP

кликните сюда чтобы обратиться к руководству примера приложения PHP

питон

кликните сюда скачать пример приложения OpenOd miniOrange для Python

кликните сюда сослаться на пример руководства по применению Python

2. Создайте службу REST или аналогичную в вашем приложении для обработки ответа от конечной точки авторизации (Примечание: это должен быть параметр URI перенаправления).

Пример (https: // <ваш-домен> / rest / openidresponse)

Атрибуты ответа: код, состояние.

Теперь вам просто нужно сделать два вызова: один для получения токена доступа и другой для получения информации о пользователе с помощью этого access_token.

4. Интеграция с LDAP - если вы используете ldap, нажмите здесь, чтобы увидеть подробности.
Например - Microsoft Active Directory, OpenLDAP или любые другие системы каталогов.

Если вы не уверены, что ваш источник идентичности поддерживается здесь или нет, свяжитесь с нами по адресу [email protected].

Шаг 2. Установите доверие между miniOrange и приложением A, из которого инициируется единый вход.

protected void SSORedirect_Click (отправитель объекта, EventArgs e) {DateTime Jan1st1970 = new DateTime (1970, 1, 1, 0, 0, 0, DateTimeKind.Utc); длинные миллисекунды = (long) (DateTime.UtcNow - Jan1st1970) .TotalMilliseconds; String username = Session ["currentUser"]; String appSecret = "Введите секрет приложения, записанный в консоли администратора miniOrange"; Строковый токен = миллисекунды + ":" + имя пользователя + ":" + appSecret; String encryptedToken = encrypt (токен); String customerId = "<YOUR_CUSTOMER_KEY>"; encryptedToken = HttpUtility.UrlEncode (encryptedToken); Response.Redirect ("https://login.xecurify.com/moas/broker/login/http/" + customerId + &quot;? Token =" + encryptedToken); } private string encrypt (строковое значение) {AesManaged tdes = new AesManaged (); String encryptionKey = "<YOUR_TOKEN_KEY>"; tdes.Key = Encoding.UTF8.GetBytes (encryptionKey); tdes.Mode = CipherMode.ECB; tdes.Padding = PaddingMode.PKCS7; ICryptoTransform crypt = tdes.CreateEncryptor (); byte [] plain = Encoding.UTF8.GetBytes (значение); byte [] cipher = crypt.TransformFinalBlock (plain, 0, plain.Length); return Convert.ToBase64String (шифр); }

public void ssoRedirect (запрос HttpServletRequest, ответ HttpServletResponse) {Long timestamp = System.currentTimeMillis (); Строка username = request (). GetSession (). GetAttribute ("currentUser"); String appSecret = "Введите секрет приложения, записанный в консоли администратора miniOrange"; String token = timestamp + ":" + username + ":" + appSecret; String encryptedToken = encrypt (токен); String customerId = "<YOUR_CUSTOMER_KEY>"; encryptedToken = URLEncoder.encode (encryptedToken, "UTF-8"); response.sendRedirect ("https://login.xecurify.com/moas/broker/login/http/" + customerId + &quot;? token =" + encryptedToken); } private String encrypt (String value) генерирует исключение {String encryptionKey = "<YOUR_TOKEN_KEY>"; AesCipherService service = new AesCipherService (); service.setMode (OperationMode.ECB); service.setPaddingScheme (PaddingScheme.PKCS5); ByteSource byteSource = service.encrypt (data.getBytes (), key.getBytes ()); return byteSource.toBase64 (); }

public function ssoRedirect ($ value) {$ timestamp = round (microtime (true) * 1000); $ username = $ _SESSION ['currentUser']; $ app_secret = "Введите секрет приложения, записанный в консоли администратора miniOrange"; $ token = number_format ($ timestamp, 0, '', ''). ':'. $ username. ':'. $ App_secret; $ encryptedToken = encrypt ($ token); $ encryptedToken = urlencode ($ token_params_encode); $ customerId = "<YOUR_CUSTOMER_KEY>"; $ redirectURL = "https://login.xecurify.com/moas/broker/login/http/". customerId. &quot;? token =". encryptedToken; header ('Location:'. $ redirectURL); } приватная функция encrypt ($ token) {$ encryption_key = "<YOUR_TOKEN_KEY>"; $ blocksize = 16; $ pad = $ blocksize - (strlen ($ token)% $ blocksize); $ token = $ token. str_repeat (chr ($ pad), $ pad); $ token_params_encrypt = mcrypt_encrypt (MCRYPT_RIJNDAEL_128, $ encryption_key, $ token, MCRYPT_MODE_ECB); вернуть base64_encode ($ token_params_encrypt); }

Шаг 3: Установите доверительные отношения между miniOrange и Приложением B, в котором вы должны выполнить единый вход.

• Добавьте следующий фрагмент кода в приложение B, в которое вы хотите включить единый вход (SSO).

// получить HTTP-запрос поста от miniOrange protected void Page_Load (отправитель объекта, EventArgs e) {String status = Request ["STATUS"]; if (status! = null && status.Contains ("SUCCESS")) {String username = Request ["NameID"]; if (username! = null && username! = "") {username = decryptUser (username); Session ["currentUser"] = имя пользователя; }}} private String decryptUser (String encryptedUser) {String encryptionKey = "<YOUR_TOKEN_KEY>"; byte [] encryptedUserBytes = Convert.FromBase64String (encryptedUser); AesManaged tdes = new AesManaged (); tdes.Key = Encoding.UTF8.GetBytes (encryptionKey); tdes.Mode = CipherMode.ECB; tdes.Padding = PaddingMode.PKCS7; ICryptoTransform crypt = tdes.CreateDecryptor (); byte [] cipher = crypt.TransformFinalBlock (encryptedUserBytes, 0, encryptedUserBytes.Length); return Encoding.UTF8.GetString (шифр); }

// получить HTTP-запрос post от miniOrange public void doPost (запрос HttpServletRequest, ответ HttpServletResponse) выдает IOException, ServletException {String status = request.getParameter ("STATUS"); if (status! = null && StringUtils.equals (status, "SUCCESS")) {String username = request.getParameter ("NameID"); if (username! = null && username! = "") {try {username = decryptUser (username); response.getSession (). setAttribute ("currentUser", имя пользователя); response.sendRedirect (); } catch (Exception e) {e.printStackTrace (); вернуть; }}}} private String decryptUser (String encryptedUser) {String encryptionKey = "<YOUR_TOKEN_KEY>"; byte [] base64decoded = Base64.decodeBase64 (encryptedUser.getBytes ()); AesCipherService decryptService = new AesCipherService (); decryptService.setMode (OperationMode.ECB); decryptService.setPaddingScheme (PaddingScheme.PKCS5); ByteSource decrypt = decryptService.decrypt (base64decoded, key.getBytes ()); вернуть новую строку (decrypt.getBytes ()); }

// получить http-запрос от публичной функции miniOrange getSSOUser () {$ status = $ _POST ['STATUS']; if (status! = null && strcmp (status, "SUCCESS")) {$ username = $ _POST ['NameID']; if ($ username! = null && $ username! = "") {try {$ username = decryptUser ($ username); $ _SESSION ["currentUser"] = $ username; } catch (Exception $ e) {exit; }}}} приватная функция decryptUser ($ encryptedUser) {$ encryption_key = "<YOUR_TOKEN_KEY>"; $ strIn = base64_decode ($ encryptedUser); $ plainText = mcrypt_decrypt (MCRYPT_RIJNDAEL_128, $ key, $ strIn, MCRYPT_MODE_ECB); $ pad = ord ($ plainText {strlen ($ plainText) - 1}); if ($ pad> strlen ($ plainText)) возвращает false; if (strspn ($ plainText, $ plainText {strlen ($ plainText) - 1}, strlen ($ plainText) - $ pad)! = $ pad) {return false; } return substr ($ plainText, 0, -1 * $ pad); }

Как использовать сопоставление доменов для настройки двух источников идентификации?

Используя сопоставление доменов, вы можете настроить свой плагин на использование разных IdP для единого входа в зависимости от домена пользователя.
Например: вы можете использовать IdP1 для [email protected] и IdP2 для [email protected] в качестве провайдера идентификации.

Шаг 1. Настройте IdP в источниках идентификации

1. Определите и настройте свой IdP в Identity Source, используя инструкции Вот

2. Вы можете определить список доменов, разделенных точкой с запятой, которые вы хотите использовать в IdP в поле « Имя домена».

Примечание. Если вы используете Источники идентификации разных типов, обязательно установите Источник идентификации не LDAM / OAuth / OpenID в качестве источника идентификации по умолчанию.

Шаг 2. Установите доверие между поставщиком услуг и службой Identity Broker

1. Загрузите и установите плагин miniOrange SAML с рынка вашего поставщика услуг. Убедитесь, что вы активировали плагин.

2. Зарегистрироваться / Войти с помощью miniOrange.

3. Перейдите на вкладку Identity Provider и запишите настройки для IdP. Они понадобятся вам для следующего шага

4. Настройте приложение в своей учетной записи Miniorange, выполнив следующие действия:

1. Перейдите в Приложения-> Управление приложениями



2. Нажмите кнопку « Настроить приложения» в правом верхнем углу экрана.
3. Перейдите на вкладку SAML . Выберите приложение вашего SP и нажмите « Добавить приложение».
4. Введите идентификатор объекта SP и URL-адрес ACS вашего поставщика услуг.
5. Выберите значение атрибута для идентификатора имени. Обычно это адрес электронной почты.
6. Выберите Имя группы, введите имя политики и выберите первый тип фактора.
7. Нажмите на Сохранить приложение.
8. Нажмите на Скачать сертификат.

5. Перейдите на вкладку « Поставщик услуг » в плагине и предоставьте следующую конфигурацию:

   Имя провайдера идентификации, например : идентификатор объекта Miniorange IdP или эмитент Сертификат Содержимое файла сертификата, загруженного на предыдущем шаге

Шаг 3. Установите доверие между поставщиком удостоверений и службой Identity Broker

Примечание. Чтобы получить свой ключ клиента, перейдите в раздел Интеграции -> Интеграция с обычным приложением в боковом меню своей учетной записи Miniorange.

Тестовые конфигурации

1. Перейдите на вкладку « Поставщик услуг » в вашем плагине.
2. Нажмите на кнопку Test Configuration
3. Брокер Сервис попросит вас ввести адрес электронной почты
4. В зависимости от вашего домена (в моем случае miniorange.com) вы будете перенаправлены на определенный IdP (в моем случае Microsoft AD)
5. Введите имя пользователя и пароль вашего IdP
6. И вы сделали

Что такое личный брокер?

Брокерская идентификация - это способ установить доверие между сторонами, которые хотят использовать онлайновые идентификационные данные друг друга. За эти годы мы разработали множество стандартов для этого, таких как SAML, OPENID, OAUTH, OPENID Connect, но проблема в том, что очень немногие люди понимают, как работают эти протоколы и где они должны использоваться. Реализация таких протоколов усложняется, а также требует больших затрат времени и средств.

Что такое услуга Identity Broker?

Служба Identity Broker скрывает всю сложность этих протоколов и предоставляет сторонним пользователям простую конечную точку HTTPS. Без внедрения SAML, OPENID, OAUTH или OPENID Connect вы можете внезапно начать говорить на этих языках и получить доступ к идентификаторам и токенам от сотен провайдеров. Единственное, что вам нужно знать, это как вызвать конечную точку HTTPS, что намного проще, чем понимание различных стандартов.

• Вам не нужно понимать сложные протоколы Single Sign on, такие как SAML, OpenID и OAUTH.
• Вы можете SAML включить ваши приложения, используя простые вызовы HTTPS.
• Вы можете обеспечить социальный вход на свой сайт без хлопот понимания того, как все это работает
• Если вы получаете токены доступа с выбранного вами сайта, вы можете добавить собственный код и расширить это приложение.

Помимо всех вышеперечисленных преимуществ, услуги miniOrange удостоверения личности предоставляют

• Возможность настройки любого IdP по вашему выбору, включая OKTA, PING, RSA, Centrify, Google, Facebook, LinkedIn и даже Custom.
• После того, как у вас будет установлена ​​личность с выбранным вами провайдером идентификации, miniOrange позволит вам использовать наш двухфакторный продукт для аутентификации на верху приложения по вашему выбору.
• miniOrange также позволяет вам предоставлять доступ к вашим приложениям с учетом рисков, чтобы вы могли иметь еще один уровень безопасности на основе надежных устройств, надежных расположений, надежного времени доступа и даже поведения пользователя.

Вернуться к началу

Похожие

Комментарии