SSO (Single Sign-On) con OpenID Connect

Precaución

La disponibilidad de esta función depende de la licencia del dominio Opendatasoft.

Registre su proveedor OpenID Connect en el dominio.

  1. Navegue a la página de registro de la interfaz de configuración del dominio.

  2. Seleccione "Permitir acceso para usuarios de OpenID Connect".

OpenID Connect provider configuration interface
  1. Copie el documento de descubrimiento del proveedor en el campo "Información del proveedor de OpenID Connect".

    Este documento debe tener el formato JSON y normalmente se puede recuperar del extremo del proveedor. Debe contener como mínimo los atributos siguientes:

    • issuer
    • authorization_endpoint
    • userinfo_endpoint
    • end_session_endpoint
    • jwks_uri
  2. Si desea desactivar la creación de usuarios locales, y asegurarse así de que únicamente los usuarios existentes se conecten a la plataforma con OpenID Connect, marque la casilla "Desactivar aprovisionamiento de usuarios locales".

  3. Introduzca las credenciales de aplicación asociadas al dominio Opendatasoft.

    Al registrar su dominio Opendatasoft como cliente OpenID Connect en el proveedor, debe obtener un par de credenciales, denominadas ID de cliente y Secreto de cliente.

    Estas credenciales permiten autenticar las solicitudes realizadas por la plataforma Opendatasoft en el extremo del proveedor.

    Simplemente copie estas credenciales en los campos "ID de cliente" y "Secreto de cliente".

  4. Si desea usar tokens JWT para suplantar llamadas de API en la plataforma Opendatasoft, marque la casilla "Activar autenticación directa con tokens de portador JWT".

  5. Lista de ámbitos adicionales opcionales

    Los ámbitos en OpenID Connect permiten definir el conjunto de información (reclamaciones) que una aplicación desea recibir sobre un usuario conectado. De forma predeterminada, Opendatasoft utiliza los ámbitos siguientes: openid, perfil y correo electrónico. Estos ámbitos permiten autenticar a un usuario y recuperar su correo electrónico, nombre y apellido.

    Puede usar ámbitos adicionales para añadir reclamaciones como atributos adicionales en el perfil de un usuario y usarlos en los filtros de seguridad de los conjuntos de datos.

  6. Lista de reclamaciones adicionales opcionales

    Las reclamaciones son atributos que se recopilan durante el proceso de autenticación y describen al usuario. De forma predeterminada, Opendatasoft solo almacena la reclamación sub. Se pueden almacenar reclamaciones adicionales en el perfil de usuario. Estas reclamaciones se podrán usar después en los filtros de seguridad de los conjuntos de datos.

  7. Especifique la dirección URL en la que el usuario puede editar su perfil de usuario en el proveedor de identidad. Cuando se haya especificado, el usuario visualizará un enlace a esta dirección URL en la página de su cuenta de usuario. Si se deja en blanco, no se mostrará ninguna dirección URL al usuario en la página de su cuenta.

  8. Personalice el texto del vínculo de inicio de sesión de OpenID Connect. Si se deja en blanco, se visualizará un mensaje predeterminado localizado.

Registre su dominio en el proveedor de identidad.

La configuración del proveedor de identidad depende de la implementación, pero suele consistir en especificar en el proveedor de identidad el valor del URI de redirección, que debe tener el formato https://<SU_DOMINIO>/oidc/authenticate.

Algunos proveedores pueden admitir un documento de configuración con preformato JSON. Este documento se puede descargar de la dirección siguiente: https://<SU_DOMINIO>/oidc/client_info

SLO (Single Log-Out)

La plataforma Opendatasoft ofrece soporte para SLO (Single Log-Out) con OpenID Connect mediante el protocolo de borrador OpenID Connect Back-Channel Logout.