Eenmalig inloggen met OpenID Connect

Opgelet

De beschikbaarheid van deze functionaliteit hangt af van de licentie van het Opendatasoft-domein.

Registreer uw OpenID Connect provider op uw domein

  1. Ga naar de intekenpagina in de configuratie-interface van het domein.

  2. Vink "Toegang voor gebruikers van OpenID Connect toelaten" aan

OpenID Connect provider configuration interface
  1. Kopieer uw ontdekkingsdocument van de proiver in het "OpenID Connect provider informatieveld".

    Dit document zou moeten worden geformatteerd in JSON en kan meestal opgehaald worden van uw provider eindpunt. Het moet minstens een van de volgende attributen bevatten:

    • issuer

    • authorization_endpoint

    • userinfo_endpoint

    • end_session_endpoint

    • jwks_uri

  2. Indien u het aanmaken van lokale gebruikers zou willen uitschakelen, door ervoor te zorgen dat enkel bestaande gebruikers via OpenID Connect kunnen inloggen op het platform, vink dan "Het aanmaken van lokale gebruikers deactiveren" aan.

  3. Voer de gegevens van de applicatie in die verbonden zijn aan uw Opendatasoft-domein.

    Aangezien u uw Opendatasoft-domein hebt geregistreerd als een OpenID Connect-klant op uw provider, zou u een paar gegevens moeten krijgen, namelijk Client ID en Client secret.

    De gegevens worden gebruikt om verzoeken te identificeren die door het Opendatasoft-platform worden gedaan op het eindpunt van de provider.

    Kopieer deze gegevens in de velden "Client ID" en "Client secret".

  4. Indien u JWT-tokens zou willen gebruiken om API-oproepen op het Opendatasoft-platform te imiteren, vink dan het vakje "Rechtstreekse identificatie met JWT bearer tokens activeren" aan.

  5. Lijst van optionele bijkomende toepassingsgebieden

    Toepassingsgebieden in OpenID Connect worden gebruikt om de reeks informatie (claims) te definiëren die een applicatie zou willen ontvangen over een ingelogde gebruiker. Standaard gebruikt Opendatasoft de volgende toepassingsgebieden: openid, profile en email. Deze toepassingsgebieden maken het mogelijk om een gebruiker te identificeren en om hun e-mail, voornaam en familienaam terug te vinden.

    U kunt bijkomende toepassingsgebieden als bijkomende attributen toevoegen in het profiel van een gebruiker en ze gebruiken in veiligheidsfilters voor datasets

  6. Lijst met optionele bijkomende claims

    Claims zijn attributen die ingezameld worden tijdens het identificatieproces en die de gebruiker beschrijven. Standaard slaat Opendatasoft enkel de claim sub op. Het is ook mogelijk om bijkomende claims op te slaan in het profiel van de gebruiker. Deze claims kunnen dan gebruikt worden in veiligheidsfilters voor datasets.

  7. Voer de URL in waarop de gebruiker zijn gebruikersprofiel kan bewerken op de identiteitsprovider. Wanneer deze ingesteld is, zal een link naar deze URL aan de gebruiker getoond worden in zijn gebruikersaccountpagina. Wanneer deze blanco wordt gelaten, zal geen URL aan de gebruiker worden getoond in zijn accountpagina.

  8. De tekst van de inloglink voor OpenID Connect personaliseren. Wanneer deze blanco wordt gelaten, zal een gelokaliseerd standaardbericht worden weergegeven.

Registreer uw domein op uw identiteitsprovider

De configuratie van de identiteitsprovider is implementatie-afhankelijk, maar bestaat meestal uit het specificeren van de waarde van de doorverwijzings-URL op de identiteitsprovider, die onder de vorm https://<YOUR DOMAIN>/oidc/authenticate zou moeten zijn.

Sommige providers kunnen een vooraf geformatteerd configuratiedocument in JSON-formaat ondersteunen. Dit document kan worden gedownload vanaf het volgende adres: https://<YOUR DOMAIN>/oidc/client_info

Eenmalig uitloggen

Het Opendatasoft-platform ondersteunt eenmalig uitloggen met OpenID Connect door middel van een ontwerpprotocol OpenID Connect Back-Channel Logout.