• Startseite
• Inhaltsbibliothek
• Admin-Dokumente
• Anwendung konfigurieren
• So fügen Sie eine OAuth-App hinzu

So fügen Sie eine OAuth-App hinzu

---

miniOrange unterstützt Single Sign-on in Ihren Apps, um Administratoren und Benutzern eine sichere Anmeldung zu ermöglichen. miniOrange unterstützt verschiedene Protokolle für Ihre Anwendungen, wie zum Beispiel SAML, WS-FED, OAuth, OIDC, JWT, RADIUS, usw. Mit Single Sign-on können sich Benutzer mit einem Satz Anmeldeinformationen bei mehreren Anwendungen anmelden. Dies verbessert die Sicherheit, da es die Möglichkeiten für Phishing-Angriffe verringert und auch den Zugriff auf Ihre Anwendung verbessert.

OAuth (Offene Autorisierung) OAuth ist ein offener Standard für tokenbasierte Authentifizierung und Autorisierung. OAuth ermöglicht die Nutzung der Kontoinformationen eines Endnutzers durch Drittanbieterdienste wie Facebook, ohne dass das Passwort des Nutzers preisgegeben wird. Es fungiert als Vermittler im Auftrag des Endnutzers und stellt dem Dienst ein Zugriffstoken zur Verfügung, das die Weitergabe bestimmter Kontoinformationen autorisiert. miniOrange bietet eine Lösung für Single Sign-On (SSO) für Anwendungen, die das OAuth-Protokoll unterstützen, wie Salesforce, WordPress, Joomla, Atlassian, Azure AD, Reddit, Spotify, Paypal, WHMCS, Slack, Discord usw.

Konfigurieren Sie Single Sign-On (SSO)-Einstellungen für OAuth-Apps:

• Melden Sie sich bei der miniOrange-Admin-Konsole an.



• Klicken Sie auf Apps. Es wird eine Liste aller konfigurierten Anwendungen und die Möglichkeit, diese zu ändern, angezeigt. Klicken Sie auf Anwendung hinzufügen.



• Wählen Sie unter Anwendung auswählen OAuth/OpenID von der Alle Apps Dropdown-Liste.



• Suchen Sie in der Liste nach Ihrer Anwendung, falls diese nicht gefunden wird. Suchen Sie nach oauth und Sie können Ihre App einrichten über OAuth2/OpenID Connect.



• Im Grundlagen Geben Sie die folgenden Details ein:

  Display Name	Geben Sie die Display Name (d. h. der Name dieser Anwendung).
  URL umleiten	Geben Sie die URL umleiten. Stellen Sie sicher, dass es diesem Format entspricht: https://<mycompany.domain-name.com>
  Kunden-ID	Automatisch generiert. Klicken Sie auf das Kopiersymbol, um es in Ihrer Anwendung zu verwenden.
  Kundengeheimnis	Kundengeheimnis ist standardmäßig ausgeblendet. Klicken Sie auf das Augensymbol, um es einzublenden, und verwenden Sie das Zwischenablagesymbol, um es zu kopieren.
  Betreff (optional)	Wählen Sie ein Attribut aus der Dropdown-Liste aus.
  Beschreibung (optional)	Fügen Sie bei Bedarf eine Beschreibung hinzu.
  App-Logo hochladen (optional)	Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.

• Klicken Sie auf Gespeichert.



• Sie werden zum. Weitergeleitet Richtlinien .



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird sich öffnen.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie den Gruppennamen ein und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Nächster.
  • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
  • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
  • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) mit einem Adaptive Authentifizierung, wenn benötigt.
  • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Sobald die Richtlinie erfolgreich hinzugefügt wurde, wird sie in der Liste angezeigt.



• Sie können an der go Erweitert , um andere Einstellungen zu ändern, z. B. die Ablaufzeit für Zugriffs-, JWT- und Aktualisierungstoken.
• Ablauf des Zugriffstokens: Wie lange der bereitgestellte Zugriffstoken ab Erstellung gültig sein soll. [In Stunden] Nach Ablauf muss ein neuer Zugriffstoken generiert werden.
• Ablauf des JWT-Tokens: Wie lange das generierte JWT-Token gültig sein soll. [In Stunden]
• Ablauf des Aktualisierungstokens: Wie lange das generierte Aktualisierungstoken gültig sein soll. [In Tagen] Sie müssen nach der angegebenen Anzahl von Tagen ein neues Aktualisierungstoken generieren.
• Gemeinsame Identität aktivieren: Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.



• Wechseln Sie auf die Anmeldeoptionen Tab.

  Primärer Identitätsanbieter	Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
  SSO-Flows	Wählen Sie den gewünschten SSO-Flow aus der Dropdown-Liste aus, z. B. miniOrange als IDP, miniOrange als Broker oder miniOrange als Broker mit Discovery Flow.
  Auf dem Endbenutzer-Dashboard anzeigen	Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.
  Authentifizierung erzwingen	Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
  Erlaubte Abmelde-URIs	Klicken Sie auf den Link „Zulässige Abmelde-URIs“, um eine Liste mit Weiterleitungs-URIs nach der Abmeldung hinzuzufügen. Benutzer werden nach einer erfolgreichen Abmeldung von miniOrange zu einer dieser URIs weitergeleitet.
  Single Logout aktiviert	Aktivieren Sie diese Option, um beim Abmelden von dieser App Abmeldeanforderungen an andere Anwendungen zu senden.
  Anmelde-URL	Sie können Benutzerattribute in die Anmelde-URL aufnehmen, indem Sie Platzhalter wie {{username}}, {{primaryEmail}}, {{customAttribute1}} usw. verwenden. Diese Platzhalter werden während des vom IdP initiierten SSO-Flows dynamisch durch die tatsächlichen Benutzerwerte ersetzt. Sie können eine URL mit den folgenden Attributen generieren: Benutzername, primäre E-Mail-Adresse, alternative E-Mail-Adresse, Vorname, Name, primäre Telefonnummer und benutzerdefiniertes Attribut1. Die URL könnte so lauten login.com/{{username}}/?primaryEmail={{primaryEmail}} Abfrageparameterformat: https://<sso-url>>?username={{username}} https://<sso-url>>?username={{username}}&email={{primaryEmail}} Pfadparameterformat: https://<sso-url>>/{{customAttribute1}}/{{customAttribute2}}/?username={{username}}




• Wechseln Sie auf die Attribute Tab.
• Option „Mehrwertige Attribute aktivieren“:




• Wenn diese Option aktiviert ist, werden sowohl Kommas (,) als auch Semikolons (;) als Trennzeichen behandelt. Jedes Attribut, das diese Zeichen enthält, wird automatisch aufgeteilt und in ein mehrwertiges Attribut basierend auf ihrer Positionierung.
• Diese Funktion stellt sicher, dass Attribute mit mehreren Werten in einer strukturiertes Format anstatt als einzelne verkettete Zeichenfolge.
• Beispielsweise: Wenn diese Option aktiviert ist, werden Attribute als Liste angezeigt wie Rollen = ['Administrator', 'Editor', 'Betrachter'] anstelle einer einzelnen Zeichenfolge wie Rollen = "Administrator; Editor; Betrachter".
• Wenn diese Option ist behindert, Attribute, die als einzelne, mit Kommas (,) und Semikolons (;) verkettete Zeichenfolge gespeichert sind, werden so behandelt, wie sie gespeichert sind, und nicht als strukturierte Liste.
• In diesem Fall werden Kommas (,) und Semikolons (;) nicht als Trennzeichen behandelt, sodass die Werte in einer Zeichenfolge zusammengefasst bleiben.

• Erforderliche App-Details abrufen / App-Informationen aktualisieren::
• Gehen Sie zum Apps Abschnitt aus dem Seitenmenü. Suchen Sie in der Liste der konfigurierten Apps die von Ihnen erstellte App. Klicken Sie auf das Drei-Punkte-Symbol neben der App und wählen Sie die Bearbeiten .



• Sie können alle oben genannten Details bearbeiten, falls Sie sie ändern möchten.



• OAuth-Endpunkte:
• Autorisierungsendpunkt [ https:// .xecurify.com/moas/idp/openidsso ]:
• Dieser Endpunkt wird verwendet, um den Endbenutzer mit seinen miniOrange-Anmeldeinformationen zu authentifizieren. Dadurch werden die Benutzer authentifiziert und eine Antwort an die Umleitungs-URL zurückgegeben, basierend auf den in der Anfrage übergebenen Parametern. [Hauptsächlich der Autorisierungscode]
• Dieser Endpunkt akzeptiert die folgenden Parameter:
• Kunden ID : client_id der Anwendung, wie in den vorherigen Schritten konfiguriert
• Umleitungs-URI: Die Rückruf-URL, an die Sie die Antwort zurückgeben möchten
• Umfang : Umfang der Autorisierung oder Zugriffsebene. Sie können einen oder mehrere durch „+“ getrennte Bereiche senden. Beispiel: „E-Mail+OpenID“. Wir unterstützen die folgenden Bereiche:
• E-Mail: gibt die E-Mail-Adresse des Benutzers in der Antwort zurück
• Profil: gibt Benutzerprofilinformationen in der Antwort zurück
• OpenID: Gibt das ID-Token mit den Benutzerprofildetails zurück.
• Dadurch werden der Autorisierungscode und die Statusparameter in der Antwort zurückgegeben.
• Token-Endpunkt [ https:// .xecurify.com/moas/rest/oauth/token ] :
• Dieser Endpunkt gibt Folgendes zurück:
• ID-Token ​Enthält Benutzerattribute und Signaturen, die Sie mit dem bereitgestellten öffentlichen Zertifikat validieren müssen.

iss	https-URI, die den Aussteller angibt
unten	Kennung des Benutzers beim Herausgeber
aud	client_id des anfragenden Clients
Nuntius	der vom Client empfangene Nonce-Parameterwert
exp	Ablaufzeit dieses Tokens
siehe unten	Zeitpunkt der Ausgabe dieses Tokens
Authentifizierungszeit	Zeitpunkt der Authentifizierung
at_hash	die erste Hälfte eines Hashs des Zugriffstokens

• Zugriffstoken: 1 Stunde gültig und kann bis zum Ablauf zum Zugriff auf Benutzerinformationen oder andere Endpunkte verwendet werden.
• Dieser Endpunkt akzeptiert die folgenden Parameter in der Anforderung:
• Kunden ID : Client-ID der Anwendung, wie in den vorherigen Schritten konfiguriert.
• Client-Geheimnis: client_secret der Anwendung, wie im vorherigen Schritt konfiguriert.
• Umleitungs-URL: Die Rückruf-URL, an die die Antwort gepostet werden soll.
• Code: Der vom Autorisierungsendpunkt empfangene Autorisierungscode.
• Gewährungstyp: Die OAuth-Berechtigung, die Sie für die Anforderung verwenden möchten.
• Benutzerinformationsendpunkt [ https:// .xecurify.com/moas/api/oauth/getuserinfo ]: [Nur im Fall von OAuth erforderlich]
• Mit dieser API können Benutzerprofilinformationen mit einem dem Benutzer zugewiesenen Zugriffstoken abgerufen werden. Eine GET-Anfrage wird an den Benutzerinfo-Endpunkt gesendet.
• Sie müssen den Zugriffstoken im Autorisierungsheader senden, um die Benutzerdetails zu erhalten.
• OpenID Single Logout-Endpunkt: [ https:// .xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri ] :
• Dieser Endpunkt entfernt die aktive Benutzersitzung vom miniOrange IDP und leitet den Benutzer zur im Parameter post_logout_url angegebenen URL weiter.



• Hier klicken für eine detaillierte Installationsanleitung, wenn Sie Ihre Benutzer über eine beliebige externer Identitätsanbieter wie Active Directory, Okta, OneLogin usw. oder andere benutzerdefinierte IDPs.