Single Sign-on mit OpenID Connect

Vorsicht

Die Verfügbarkeit dieser Funktion hängt von der Lizenz der Opendatasoft-Domain ab.

Registrieren Sie Ihren OpenID Connect-Provider auf Ihrer Domain

  1. Navigieren Sie zur Anmeldeseite in der Domain-Konfigurationsschnittstelle.

  2. Klicken Sie auf "Zugriff für OpenID Connect-Benutzer erlauben"

OpenID Connect provider configuration interface
  1. Kopieren das Discovery Document Ihres Providers in das "Informationsfeld des Providers OpenID Connect".

    Dieses Dokument sollte in JSON formatiert sein und kann in der Regel von Ihrem Provider-Endpunkt abgerufen werden. Sie muss mindestens die folgenden Attribute enthalten:

    • issuer
    • authorization_endpoint
    • userinfo_endpoint
    • end_session_endpoint
    • jwks_uri
  2. Wenn Sie die Erstellung lokaler Benutzer deaktivieren und damit sicherstellen möchten, dass nur bereits vorhandene Benutzer über OpenID Connect eine Verbindung zur Plattform herstellen können, so markieren Sie das Kontrollkästchen "Lokale Benutzerbereitstellung deaktivieren".

  3. Geben Sie die Anmeldeinformationen der Anwendung für Ihre Opendatasoft-Domain ein.

    Da Sie Ihre Opendatasoft-Domain als OpenID Connect-Client bei Ihrem Provider registriert haben, sollten Sie entsprechende Anmeldeinformationen erhalten, und zwar "Client ID" und "Client secret".

    Diese Anmeldeinformationen werden zur Authentifizierung von Anfragen verwendet, die von der Opendatasoft-Plattform auf dem Provider-Endpunkt gestellt werden.

    Kopieren Sie diese Anmeldeinformationen einfach in die Felder "Client ID" und "Client secret".

  4. Wenn Sie JWT-Tokens verwenden möchten, um API-Aufrufe auf der Opendatasoft-Plattform zu imitieren, markieren Sie das Kontrollkästchen "Direkte Authentifizierung mit JWT-Bearer-Token aktivieren".

  5. Optionale zusätzliche Geltungsbereiche auflisten

    OpenID Connect verwendet Geltungsbereiche, um die Informationen (Ansprüche) zu definieren, die eine Anwendung über einen angemeldeten Benutzer erhalten möchte. Opendatasoft verwendet standardmäßig die folgenden Geltungsbereiche: openid, Profil und E-Mail. Diese Geltungsbereiche ermöglichen die Authentifizierung eines Benutzers und das Abrufen seiner E-Mail sowie seines Vor- und Nachnamens.

    Sie können weitere Geltungsbereiche verwenden, um Ansprüche als zusätzliche Attribute dem Profil eines Benutzers hinzuzufügen und sie in Sicherheitsfiltern für Datensätze zu nutzen.

  6. Optionale zusätzliche Ansprüche auflisten

    Ansprüche sind Attribute, die während des Authentifizierungsprozesses erfasst werden und den Benutzer beschreiben. Standardmäßig speichert Opendatasoft nur den Anspruch sub. Es ist möglich, weitere Ansprüche im Benutzerprofil zu speichern. Diese Ansprüche können dann in Sicherheitsfiltern für Datensätze verwendet werden.

  7. Geben Sie die URL ein, über die der Benutzer sein Benutzerprofil beim Identity Provider bearbeiten kann. Wenn sie definiert wurde, wird ein Link zu dieser URL auf der Seite seines Benutzerkontos angezeigt. Wenn keine Eingabe erfolgt, wird keine URL auf der Seite der Kontoverwaltung angezeigt.

  8. Passen Sie den Text für den Link zum OpenID Connect-Login an. Wenn keine Eingabe erfolgt, wird eine Standardnachricht in der verwendeten Sprache angezeigt.

Registrieren Sie Ihre Domain bei Ihrem Identity Provider

Die Konfiguration des Identity Providers hängt von der Implementierung ab. Sie besteht jedoch in der Regel darin, dem Identity Provider den Wert der Umleitungs-URL anzugeben, die folgende Form haben sollte:https://<YOUR DOMAIN>/oidc/authenticate.

Einige Anbieter unterstützen möglicherweise ein im Vorfeld formatiertes Konfigurationsdokument im JSON-Format: https://<YOUR DOMAIN>/oidc/client_info

Single Log-out

Die Opendatasoft-Plattform unterstützt das Single Log-out mit OpenID Connect mittels OpenID Connect Back-Channel Logout.