• Home
• Anmeldung mit externem IDP
• Einrichtungshandbuch für die API-Authentifizierung

Single Sign On (SSO) für Ihre Apps mit API-Authentifizierung

---

API-Authentifizierung

Mit miniOrange können Sie Ihre Benutzer über einen API-Authentifizierungsanbieter in mehreren Anwendungen authentifizieren.

Auf diese Weise können Sie Single Sign-On (SSO) in Ihren Anwendungen erreichen, wobei sich die Benutzer über Ihre API-Server nur einmal und sie können auf alle konfigurierten Anwendungen zugreifen.

Was ist API-Authentifizierung?

Authentifizierung ist die Methode oder der Prozess, mit dem die Identität eines Benutzers überprüft und erkannt wird. Die bereitgestellten Anmeldeinformationen werden normalerweise anhand eines Benutzerspeichers wie einer Datenbank, einem Active Directory, einer Datei usw. überprüft. API ist die Schnittstelle, die auf Anfrage eines Benutzers Zugriff auf geschützte Ressourcen ermöglicht. Beim Fernzugriff auf Ressourcen muss sichergestellt werden, dass nur autorisierte Benutzer Zugriff auf die Ressourcen haben. Hier kommt die API-Authentifizierung ins Spiel. API-Authentifizierung ist der Prozess zur Überprüfung der Identität des Benutzers, der versucht, auf Ressourcen auf dem Server zuzugreifen.

Authentifizierung vs. Autorisierung

Authentifizierung ist der Prozess der Überprüfung der Identität des Benutzers, der versucht, auf eine Ressource zuzugreifen, und des Nachweises, dass der Benutzer tatsächlich derjenige ist, für den er sich ausgibt.

Die Autorisierung ist der Mechanismus, mit dem die Zugriffsebene oder die Benutzerberechtigungen für eine Ressource festgelegt werden können. Vereinfacht gesagt, bestimmt die Autorisierung, ob dem betreffenden Benutzer der Zugriff auf die angeforderte Ressource gestattet ist. Üblicherweise erfolgt die Autorisierung nach der Authentifizierung.

Kurz gesagt: Die Authentifizierung dient der Identifizierung Ihrer Person, die Autorisierung bestimmt Ihre Handlungsberechtigung.

Arten von API-Authentifizierungsmethoden

Es gibt mehrere Implementierungen für die API-Authentifizierung, aber die beliebtesten Authentifizierungsmethoden sind die folgenden:

• HTTP-Basisauthentifizierung
• HTTP-Trägerauthentifizierung
• API-Schlüsselauthentifizierung
• OAuth-Authentifizierung

Bei allen API-Authentifizierungsmethoden besteht das Ziel darin, einen eindeutigen Hash, Token oder API-Schlüssel zu generieren, mit dem weiterer Zugriff auf Ressourcen autorisiert werden kann.

HTTP-Basisauthentifizierung

Die HTTP-Basisauthentifizierung ist die gebräuchlichste und einfachste Authentifizierungsmethode. Benutzername und Passwort des Benutzers werden kombiniert und Base64-kodiert. Das Ergebnis wird dann durch einen speziellen HTTP-Header namens Autorisierung geleitet. Wenn ein Benutzer eine Anfrage stellt, dekodiert der Server den Autorisierungsheader, um den Benutzernamen und das Passwort zu verifizieren. Nach erfolgreicher Authentifizierung erhält der Benutzer Zugriff auf die angeforderte Ressource.

HTTP-Trägerauthentifizierung

Die HTTP-Bearer-Authentifizierung ähnelt der HTTP-Basisauthentifizierung, verwendet jedoch anstelle des Benutzernamens und des Kennworts des Benutzers ein Sicherheitszugriffstoken. Das Zugriffstoken ist normalerweise eine zufällige Zeichenfolge, die vom Server nach erfolgreicher Authentifizierung generiert wird und angibt, dass der mit diesem Token verknüpfte Benutzer Zugriff auf die angeforderten Ressourcen hat. Dieses Token wird vom Benutzer in der HTTP-Header-Autorisierung gesendet, um auf eine bestimmte Ressource zuzugreifen. Der HTTP-Header wird vom Server gelesen und validiert, um zu überprüfen, ob er gültig ist und Zugriff auf die angeforderte Ressource haben sollte.

API-Schlüsselauthentifizierung

Die API-Schlüsselauthentifizierung ähnelt der HTTP-Bearer-Authentifizierung, bietet jedoch mehr Flexibilität hinsichtlich der Stelle, an die der API-Schlüssel/das API-Token in der Anfrage gesendet wird. Der API-Schlüssel ist normalerweise eine lange Zeichenfolge aus alphanumerischen Zeichen, die normalerweise beim ersten Login oder dynamisch nach erfolgreicher Authentifizierung generiert wird. Bei nachfolgenden Anfragen wird der API-Schlüssel im Anfragetext oder Header gesendet. Der Server liest den API-Schlüssel und überprüft, ob es sich um einen gültigen Schlüssel handelt und auf welche autorisierten Ressourcen er zugreifen kann. Diese Methode bietet dem Administrator die Flexibilität, den Zugriff jederzeit zu widerrufen.

OAuth-Authentifizierung

OAuth ist derzeit unter allen Authentifizierungsmethoden die beste Wahl für die Benutzerauthentifizierung und -autorisierung. Bei dieser Methode werden Benutzer beim Versuch, auf eine Ressource zuzugreifen, aufgefordert, sich zu authentifizieren oder anzumelden. Nach erfolgreicher Authentifizierung wird ein Token generiert, mit dem auf Ressourcen zugegriffen werden kann, ohne dass sich der Benutzer mehrfach authentifizieren muss. OAuth bietet außerdem eine bessere Sicherheit durch strengere Umfangsprüfungen und eine zeitliche Gültigkeit der Token. Da das Token nach einer Weile widerrufen wird, ist die Wahrscheinlichkeit geringer, dass Angreifer es verwenden, um Zugriff auf Ressourcen zu erhalten.

Welche verschiedenen Protokolltypen gibt es?

SAML

SAML ist ein weit verbreiteter, XML-basierter SSO-Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter. Er wird hauptsächlich zur Authentifizierung und zum sicheren Austausch von Benutzerinformationen zwischen Webanwendungen verwendet.

OAuth/OAuth2

OAuth ist ein weit verbreitetes Autorisierungsframework, das es zwei Anbietern ermöglicht, mithilfe von Bereichen und zeitkritischen Token auf sichere Weise benutzerbezogene Ressourcen gemeinsam zu nutzen.

OpenID

OpenId ist das am häufigsten verwendete Authentifizierungsprotokoll. Es ist eine Authentifizierungsschicht über OAuth2.0, die zur Überprüfung der Identität des Benutzers verwendet wird. Im Vergleich zu OAuth, bei dem die Benutzeridentität nicht bekannt ist, stellt OpenId ein Token mit Benutzerinformationen bereit. Dieses Token kann bei Bedarf weiter verwendet werden, um Zugriff auf andere Ressourcen zu erhalten.

JWT

JWT oder JSON Web Token ist ein Standard für die Datenerstellung. Es empfiehlt ein festes JSON-Format für das Token, das mit einem gemeinsamen Geheimnis oder einem privaten/öffentlichen Schlüssel signiert wird. Dies ist in OAuth- und OpenID-Standards nützlich, bei denen Token mit Benutzerdaten ausgetauscht werden.

Wir unterstützen REST API Authentifizierung mittels API-Schlüssel.

Bei der API-Schlüsselauthentifizierung wird ein Schlüssel-Wert-Paar entweder in den Anforderungsheadern oder im Anforderungstext an den API-Server gesendet.

Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung für SSO für Ihre Apps mithilfe der API-Authentifizierung.

1. API-Endpunktinformationen abrufen

• Notieren Sie die Benutzerauthentifizierungs-URL und der API-Schlüsselwert erforderlich für Ihren API-Endpunkt.

Benutzerauthentifizierungs-URL	Die URL Ihres API-Authentifizierungsanbieters. Beispiel: https://example.com/endpoint/
API-Schlüssel	Der von Ihrem API-Authentifizierungsanbieter bereitgestellte API-Schlüsselwert

2. Richten Sie eine benutzerdefinierte API-Authentifizierungsquelle in miniOrange ein

• Melden Sie sich bei Ihrem miniOrange an Admin-Konsole und navigieren Sie zu Identitätsanbieter >> Identitätsanbieter hinzufügen.



• Unter dem Identitätsanbieter auswählenWählen API von der Alle Dropdown-Liste.



• Suchen Sie nach Benutzerdefinierte Login-API und wählen Sie es aus der Liste aus.



• Geben Sie einen API-ID-Namen an.
• Unter dem Authentifizierungskonfiguration Abschnitt, fügen Sie den ein Benutzerauthentifizierungs-URL die Sie in Schritt 1 oben kopiert haben.
• Sie können den API-Schlüssel über zwei verschiedene Methoden übergeben, d.h. Anfragekopf oder Anfragetext.

• Über den Anforderungsheader
• Über den Anforderungstext

Bei dieser Methode wird der API-Schlüssel als „Authorization_key“ über den Anforderungsheader gesendet. Sie können sich auf das folgende Beispiel beziehen.

• Geben Sie den Header-Namen an Autorisierungsschlüssel und sein Wert, d.h Wert Ihres API-Schlüssels die Sie in Schritt 1 kopiert haben.
• Wählen Sie die Methode als aus STARTE.
• Das ____ bereitstellen Authentifizierungsparameter als:



Authentifizierungsparameter

{ „Benutzername“: „##Benutzername##“, „Passwort“: „##Passwort##“ }

Hinweis: Bei Bedarf können zusätzliche Parameter im Abschnitt Authentifizierungsparameter gesendet werden. Diese Parameter werden im Format „Parametername“: „Parameterwert“.




• Das ____ bereitstellen Status Feldwert als Status und Statusnachricht Feldwert als Nachricht.

Status	Name des Feldes in der Serverantwort, das den Statuscode enthält
Statusnachricht	Name des Feldes, das die Beschreibung des Status in der Antwort enthält

• Felder der Authentifizierungsantwort:
• Erfolgskriterium: Geben Sie die Details gemäß den von Ihnen ausgewählten Kriterien ein.
• Fehlermeldung: Geben Sie das Fehlermeldungsfeld der Antwort ein.



• Klicken Sie auf Gespeichert .
• Um Ihre Konfiguration zu überprüfen, klicken Sie auf die Schaltfläche drei Punkte und wählen Sie Testautorisierungs-API.



• Geben Sie Ihre Anmeldeinformationen ein, wenn Sie dazu aufgefordert werden. Anschließend sollte eine Erfolgsmeldung angezeigt werden.

Bei dieser Methode wird der API-Schlüssel als Parameter „api_key“ im gesendet jetzt lesen Körper als JSON.

Wie Sie Ihren Anbieter so konfigurieren, dass er den API-Schlüssel als Feld im Anfragetext sendet, erfahren Sie weiter unten.

• Geben Sie im Abschnitt „Kopfzeilen“ Folgendes an: Kopfzeilenname Content-Type und sein Wert Anwendung / Json.
  (Der Inhaltstyp im Header gibt an, welche Art von Daten tatsächlich in der Anforderung gesendet wird. Einige Beispiele für Inhaltstypen können sein: application/json; text/html; charset=UTF-8; multipart/form-data; text/plain usw.)
• Wählen Sie die Methode als aus jetzt lesen.
• Das ____ bereitstellen Authentifizierungsparameter als:



Authentifizierungsparameter

{ „api_key“: „Wert“, „Benutzername“: „##Benutzername##“, „Passwort“: „##Passwort##“ }

Geben Sie anstelle von „value“ den API-Schlüsselwert ein, den Sie in Schritt 1 kopiert haben.

Hinweis: Bei Bedarf können zusätzliche Parameter im Abschnitt Authentifizierungsparameter gesendet werden. Diese Parameter können als Felder im Anforderungstext im Format hinzugefügt werden. „Parametername“: „Parameterwert“.




• Das ____ bereitstellen Status Feldwert als Status und Statusnachricht Feldwert als Nachricht.

Status	Name des Feldes in der Serverantwort, das den Statuscode enthält
Statusnachricht	Name des Feldes, das die Beschreibung des Status in der Antwort enthält

• Felder der Authentifizierungsantwort:
• Erfolgskriterium: Geben Sie die Details gemäß den von Ihnen ausgewählten Kriterien ein.
• Fehlermeldung: Geben Sie das Fehlermeldungsfeld der Antwort ein.



• Klicken Sie auf Gespeichert .
• Um die Verbindung zu testen, wählen Sie den gerade hinzugefügten Benutzerspeicher aus und klicken Sie auf Testen Sie die Autorisierungs-API.



• Geben Sie Ihre Anmeldeinformationen ein, wenn Sie dazu aufgefordert werden. Anschließend sollte eine Erfolgsmeldung angezeigt werden.

3. Konfigurieren Sie Ihre App in miniOrange

• Einloggen um miniOrange Admin-Konsole.
• Zurück Nach Apps >> Anwendung hinzufügen.

• SAML-Anwendung
• OAuth-Anwendung
• JWT-Anwendung

• Wählen Sie unter Anwendung auswählen SAML/WS-FED von der Alle Apps Dropdown-Liste.



• Im nächsten Schritt suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … Original und Sie können Ihre App einrichten über Benutzerdefinierte SAML-App. Klicken Sie auf Senden Sie eine neue App-Anfrage wenn Sie einen neuen SSO-Antrag einreichen möchten.



• Unter dem Plug-and-Play-Betrieb Über die Registerkarte können Sie die folgenden Einstellungen konfigurieren.

  Anzeigename (erforderlich)	Geben Sie die Anzeigename für Ihre App nach Ihren Vorlieben.
  SP-Unternehmens-ID oder Aussteller (erforderlich)	Dient zur Identifizierung Ihrer App anhand der vom Service Provider (SP) empfangenen SAML-Anfrage. Die SP-Entitäts-ID oder der Aussteller kann entweder als URL oder im String-Format vorliegen.
  ACS-URL oder Assertion Consumer Service-URL (erforderlich)	Legt fest, wohin die SAML-Assertion nach der Authentifizierung gesendet werden soll. Stellen Sie sicher, dass die ACS-URL folgendes Format hat: https://www.domain-name.com/a/[domain_name]/acs
  Zielgruppen-URL	Wie der Name schon sagt, legt dieses Feld die gültige Zielgruppe für die SAML-Assertion fest. Diese entspricht in der Regel der SP-Entitäts-ID. Falls die Zielgruppen-URL nicht separat vom Service Provider (SP) angegeben wird, lassen Sie das Feld leer.
  Einzelne Abmelde-URL	Die URL, an die die Abmeldeanfrage verarbeitet werden soll und zu der Ihre Benutzer nach einer einmaligen Abmeldung von den Anwendungen weitergeleitet werden sollen.
  Logo der Upload-App	Laden Sie ein Logo für Ihre Anwendung hoch.




• Klicken Sie auf Weiter auf dem Sprung Erweiterte EinstellungenKonfigurieren Sie die folgenden Einstellungen.

  Unterzeichnete Anfrage	Aktivieren Sie diese Option, um die vom Service Provider (SP) gesendete SAML-Anfrage zu signieren. Stellen Sie das X.509-Zertifikat bereit oder laden Sie es hoch.
  Antwort unterschreiben	Aktivieren Sie diese Option, wenn die gesamte SAML-Antwort signiert werden soll.
  Unterschreiben Sie die Behauptung	Aktivieren Sie diese Option, wenn nur die Assertion innerhalb der SAML-Antwort signiert werden soll.
  Signaturalgorithmus	Wählen Sie den Algorithmus aus, der zum Signieren der SAML-Anfrage/-Antwort verwendet wird.
  Behauptung verschlüsseln	Wählen Sie diese Option aus, wenn Sie die Assertion in der SAML-Antwort verschlüsseln und den Algorithmus und das Zertifikat für die Verschlüsselung angeben möchten.
  Relaiszustand	Geben Sie die URL ein, zu der der Benutzer nach der Anmeldung bei der Anwendung weitergeleitet werden soll.
  Relaisstatus überschreiben	Aktivieren Sie diese Option, um den Standard-Relay-Status des SP zu überschreiben.
  Bindung der Abmeldeantwort	Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung von SP gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden.
  IdP-initiierte Abmeldeanforderungsbindung:	Eine Abmeldeantwort wird als Antwort auf eine Abmeldeanforderung vom IdP-Dashboard gesendet. Sie kann von einem Identitätsanbieter oder Dienstanbieter gesendet werden. HTTP-Umleitung - Eine Abmeldeantwort mit ihrer Signatur HTTP POST - Eine Abmeldeantwort mit eingebetteter Signatur
  Gültigkeitsdauer der SAML-Authentifizierung	Die Zeit, für die die Authentifizierung als gültig angesehen werden soll und der Benutzer SSO durchführen kann. Danach muss sich der Benutzer erneut anmelden.
  Gemeinsame Identität aktivieren	Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.




• Klicken Sie auf Weiter auf dem Sprung Anmeldeoptionen Registerkarte. Hier können Sie die folgenden Einstellungen konfigurieren:

  Primärer Identitätsanbieter	Wählen Sie die Identitätsquelle aus, von der aus die Authentifizierung erfolgen soll. Sie sehen die Liste aller konfigurierten Quellen.
  Authentifizierung erzwingen	Aktivieren Sie diese Option, um bei jeder Anforderung zum Zugriff auf die Anwendung eine Authentifizierung zu erzwingen.
  Auf Endbenutzer-Dashboard anzeigen	Deaktivieren Sie diese Option, wenn die App nicht für alle Benutzer im Endbenutzer-Dashboard sichtbar sein soll.




• Klicken Sie auf Weiter auf dem Sprung Attribute Registerkarte. Hier können Sie die Attribute hinzufügen und konfigurieren, die an die App gesendet werden sollen.

  NameID	Die NameID ist die eindeutige Kennung des authentifizierten Benutzers in der SAML-Assertion. Sie ermöglicht dem Dienstanbieter, den Benutzer zu erkennen und einem Konto zuzuordnen. In der Regel handelt es sich bei der NameID um einen Benutzernamen oder eine E-Mail-Adresse.
  NameID-Format	Legt fest, welcher Identifikatortyp (z. B. E-Mail, persistent, temporär) in der NameID verwendet wird, damit der Service Provider (SP) den Benutzer korrekt zuordnen kann. Falls der SP kein bestimmtes Format anfordert, kann der Identity Provider (IdP) dieses nicht spezifizieren und einen Standardwert verwenden.
  Namensformat hinzufügen	Das Namensformat definiert, wie Attributnamen in einer SAML-Assertion dargestellt werden (z. B. als einfache Zeichenketten oder URIs). Es hilft dem Service Provider (SP), die Attributbenennung korrekt zu interpretieren und gewährleistet die Konsistenz zwischen Identity Provider (IdP) und SP.
  Mehrwertige Attribute aktivieren	Aktiviert: Kommas (,) und Semikolons (;) werden als Trennzeichen behandelt, sodass das Attribut in eine übersichtliche Liste aufgeteilt wird. Beispiel: roles = ['admin', 'editor', 'viewer']. Deaktiviert: Kommas und Semikolons werden nicht als Trennzeichen behandelt, daher bleibt das Attribut als eine zusammenhängende Zeichenkette erhalten. Beispiel: roles = "admin;editor;viewer".
  Attributzuordnung	Sie können Attribute hinzufügen, die in der SAML-Assertion an den Service Provider (SP) gesendet werden sollen. Zu diesen Attributen gehören Benutzerprofilattribute wie Vorname, Nachname, vollständiger Name, Benutzername, E-Mail-Adresse, benutzerdefinierte Profilattribute und Benutzergruppen usw.




• Klicken Sie auf Weiter auf dem Sprung Richtlinien Registerkarte. Sie müssen Anwendung speichern Zuerst muss die Richtlinie für die Anwendung konfiguriert werden.



• Nachdem die Anwendung gespeichert wurde, können Sie die Richtlinie für diese Anwendung konfigurieren.



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie die Gruppenname und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Weiter.
  • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
  • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
  • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
  • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Sobald die Richtlinie erfolgreich hinzugefügt wurde, wird sie in der Liste angezeigt.



• Im Metadaten Klicken Sie auf einen der beiden Tabs:
• Klicken Sie auf miniOrange als IDP Wenn Sie miniOrange als Benutzerspeicher verwenden möchten, werden Ihre Benutzeridentitäten in miniOrange gespeichert.
• Klicken Sie auf Externe Quelle als IdP Wenn Sie Ihre Benutzer authentifizieren möchten über jede externe Identität Anbieter wie Active Directory, Okta, OneLogin usw. oder andere benutzerdefinierte Identitätsanbieter.





• Nutze einfach das Metadaten herunterladen, Zertifikat herunterladen, Metadaten-URL kopieren oder Zertifikat kopieren basierend auf Ihren Anforderungen.
• In ähnlicher Weise können Sie die Werte von SAML-Anmelde-URL, SAML-Abmelde-URL, IDP-Entitäts-ID oder Aussteller, IDP-Abmelde-URL, Metadaten-URL von hier gemäß Ihren Metadatenanforderungen.

• Wählen Sie unter Anwendung auswählen OAuth/OpenID von der Alle Apps Dropdown-Liste.



• Suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … oauth und Sie können Ihre App einrichten über OAuth2/OpenID Connect.



• Im Plug-and-Play-Betrieb Geben Sie die folgenden Details ein:

  Display Name	Geben Sie die Display Name (d. h. der Name dieser Anwendung).
  URL umleiten	Geben Sie die URL umleiten. Stellen Sie sicher, dass es diesem Format entspricht: https://<mycompany.domain-name.com>
  Kunden-ID	Automatisch generiert. Klicken Sie auf das Kopiersymbol, um es in Ihrer Anwendung zu verwenden.
  Kundengeheimnis	Kundengeheimnis ist standardmäßig ausgeblendet. Klicken Sie auf das Augensymbol, um es einzublenden, und verwenden Sie das Zwischenablagesymbol, um es zu kopieren.
  Betreff (optional)	Wählen Sie ein Attribut aus der Dropdown-Liste aus.
  Beschreibung (optional)	Fügen Sie bei Bedarf eine Beschreibung hinzu.
  App-Logo hochladen (optional)	Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.

• Klicken Sie auf Gespeichert.



• Sie werden zum. Weitergeleitet Richtlinien .



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie die Gruppenname und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Weiter.
• Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
• Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
• Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
• Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Die Richtlinie wird angezeigt, sobald sie erfolgreich hinzugefügt wurde.



• Sie können an der go Erweitert , um andere Einstellungen zu ändern, z. B. die Ablaufzeit für Zugriffs-, JWT- und Aktualisierungstoken.
• Ablauf des Zugriffstokens: Wie lange der bereitgestellte Zugriffstoken ab Erstellung gültig sein soll. [In Stunden] Nach Ablauf muss ein neuer Zugriffstoken generiert werden.
• Ablauf des JWT-Tokens: Wie lange das generierte JWT-Token gültig sein soll. [In Stunden]
• Ablauf des Aktualisierungstokens: Wie lange das generierte Aktualisierungstoken gültig sein soll. [In Tagen] Sie müssen nach der angegebenen Anzahl von Tagen ein neues Aktualisierungstoken generieren.
• Gemeinsame Identität aktivieren: Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.



• Wechseln Sie auf die Anmeldeoptionen Tab.

  Primärer Identitätsanbieter	Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
  SSO-Flows	Wählen Sie den gewünschten SSO-Flow aus der Dropdown-Liste aus, z. B. miniOrange als IDP, miniOrange als Brokerden miniOrange als Broker mit Discovery Flow.
  Auf dem Endbenutzer-Dashboard anzeigen	Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.
  Authentifizierung erzwingen	Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
  Erlaubte Abmelde-URIs	Klicken Sie auf den Link „Zulässige Abmelde-URIs“, um eine Liste mit Weiterleitungs-URIs nach der Abmeldung hinzuzufügen. Benutzer werden nach einer erfolgreichen Abmeldung von miniOrange zu einer dieser URIs weitergeleitet.
  Single Logout aktiviert	Aktivieren Sie diese Option, um beim Abmelden von dieser App Abmeldeanforderungen an andere Anwendungen zu senden.
  Anmelde-URL	Sie können Benutzerattribute in die Anmelde-URL einfügen, indem Sie Platzhalter wie {{username}}, {{primaryEmail}}, {{customAttribute1}} usw. verwenden. Diese Platzhalter werden während des vom Identitätsanbieter initiierten SSO-Ablaufs dynamisch durch die tatsächlichen Benutzerwerte ersetzt. Sie können eine URL mit den folgenden Attributen generieren: Benutzername, primäre E-Mail-Adresse, alternative E-Mail-Adresse, Vorname, Name, primäre Telefonnummer und benutzerdefiniertes Attribut1. Die URL könnte so lauten login.com/{{username}}/?primaryEmail={{primaryEmail}} Abfrageparameterformat: https://<sso-url>>?username={{username}} https://<sso-url>>?username={{username}}&email={{primaryEmail}} Pfadparameterformat: https://<sso-url>>/{{customAttribute1}}/{{customAttribute2}}/?username={{username}}




• Wechseln Sie auf die Attribute Tab.
• Option „Mehrwertige Attribute aktivieren“:



• Wenn diese Option aktiviert ist, werden sowohl Kommas (,) als auch Semikolons (;) als Trennzeichen behandelt. Jedes Attribut, das diese Zeichen enthält, wird automatisch aufgeteilt und in ein mehrwertiges Attribut basierend auf ihrer Positionierung.
• Diese Funktion stellt sicher, dass Attribute mit mehreren Werten in einer strukturiertes Format anstatt als einzelne verkettete Zeichenfolge.
• Beispielsweise: Wenn diese Option aktiviert ist, werden Attribute als Liste angezeigt wie Rollen = ['Administrator', 'Editor', 'Betrachter'] anstelle einer einzelnen Zeichenfolge wie Rollen = "Administrator; Editor; Betrachter".
• Wenn diese Option ist behindert, Attribute, die als einzelne, mit Kommas (,) und Semikolons (;) verkettete Zeichenfolge gespeichert sind, werden so behandelt, wie sie gespeichert sind, und nicht als strukturierte Liste.
• In diesem Fall werden Kommas (,) und Semikolons (;) nicht als Trennzeichen behandelt, sodass die Werte in einer Zeichenfolge zusammengefasst bleiben.
• Erforderliche App-Details abrufen / App-Informationen aktualisieren:
• Gehen Sie zur Apps Abschnitt aus dem Seitenmenü. Suchen Sie in der Liste der konfigurierten Apps die von Ihnen erstellte App. Klicken Sie auf das Drei-Punkte-Symbol neben der App und wählen Sie die Bearbeiten .



• Sie können alle oben genannten Details bearbeiten, falls Sie sie ändern möchten.



• OAuth-Endpunkte:
• Autorisierungsendpunkt [ https://<your-company-name>.xecurify.com/moas/idp/openidsso ]
• Dieser Endpunkt wird verwendet, um den Endbenutzer mit seinen miniOrange-Anmeldeinformationen zu authentifizieren. Dadurch werden die Benutzer authentifiziert und eine Antwort an die Umleitungs-URL zurückgegeben, basierend auf den in der Anfrage übergebenen Parametern. [Hauptsächlich der Autorisierungscode]
• Dieser Endpunkt akzeptiert die folgenden Parameter:
• Client-ID: client_id der Anwendung, wie in den vorherigen Schritten konfiguriert
• Umleitungs-URI: Die Rückruf-URL, an die Sie die Antwort zurückgeben möchten
• Umfang: Umfang der Autorisierung oder Zugriffsebene. Sie können einen oder mehrere durch „+“ getrennte Bereiche senden. Beispiel: „E-Mail+OpenID“. Wir unterstützen die folgenden Bereiche:
• Email: gibt die E-Mail-Adresse des Benutzers in der Antwort zurück
• Profil: gibt Benutzerprofilinformationen in der Antwort zurück
• OpenID: Gibt das ID-Token mit den Benutzerprofildetails zurück.
• Dadurch werden der Autorisierungscode und die Statusparameter in der Antwort zurückgegeben.
• Token-Endpunkt [ https://<your-company-name>.xecurify.com/moas/rest/oauth/token ]
• Dieser Endpunkt gibt Folgendes zurück:
• ID-Token ​Enthält Benutzerattribute und Signaturen, die Sie mit dem bereitgestellten öffentlichen Zertifikat validieren müssen.

iss	https-URI, die den Aussteller angibt
unten	Kennung des Benutzers beim Herausgeber
aud	client_id des anfragenden Clients
Nuntius	der vom Client empfangene Nonce-Parameterwert
exp	Ablaufzeit dieses Tokens
siehe unten	Zeitpunkt der Ausgabe dieses Tokens
Authentifizierungszeit	Zeitpunkt der Authentifizierung
at_hash	die erste Hälfte eines Hashs des Zugriffstokens

• Zugriffstoken: 1 Stunde gültig und kann bis zum Ablauf zum Zugriff auf Benutzerinformationen oder andere Endpunkte verwendet werden.
• Dieser Endpunkt akzeptiert die folgenden Parameter in der Anforderung:
• Client-ID: Client-ID der Anwendung, wie in den vorherigen Schritten konfiguriert.
• Client-Geheimnis: client_secret der Anwendung, wie im vorherigen Schritt konfiguriert.
• Redirect_url: Die Rückruf-URL, an die die Antwort gepostet werden soll.
• Code: Der vom Autorisierungsendpunkt empfangene Autorisierungscode.
• Grant-Typ: Die OAuth-Berechtigung, die Sie für die Anforderung verwenden möchten.
• Benutzerinformationsendpunkt [ https://<your-domain>.xecurify.com/moas/api/oauth/getuserinfo ] Nur im Fall von OAuth erforderlich
• Mit dieser API können Benutzerprofilinformationen mit einem dem Benutzer zugewiesenen Zugriffstoken abgerufen werden. Eine GET-Anfrage wird an den Benutzerinfo-Endpunkt gesendet.
• Sie müssen den Zugriffstoken im Autorisierungsheader senden, um die Benutzerdetails zu erhalten.
• OpenID Single Logout Endpoint [ https://<your-domain>.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri ]:
• Dieser Endpunkt entfernt die aktive Benutzersitzung vom miniOrange IDP und leitet den Benutzer zur im Parameter post_logout_url angegebenen URL weiter.

• Wählen Sie unter Anwendung auswählen JWT von der Alle Apps Dropdown-Liste.



• Suchen Sie Ihre Bewerbung in der Liste. Falls Ihre Bewerbung nicht gefunden wird, suchen Sie nach … jwt und Sie können Ihre App einrichten über JWT-App.



• Sie können die folgenden Details in der Anwendung konfigurieren:

  Display Name	Geben Sie die Display Name (d. h. der Name dieser Anwendung)
  URL umleiten	Geben Sie die URL umleiten (d. h. der Endpunkt, an den Sie Ihr JWT-Token senden/posten möchten). Sie können mehrere Weiterleitungs-URLs hinzufügen, indem Sie sie mit einem ';' trennen. Z. B. abc.com;xyz.com
  Kunden-ID	Das Kunden-ID wird im Feld unten angezeigt. Klicken Sie auf das Zwischenablagesymbol, um es zu kopieren.
  Kundengeheimnis	Kundengeheimnis ist standardmäßig ausgeblendet. Klicken Sie auf das Augensymbol, um es einzublenden, und kopieren Sie es über das Zwischenablagesymbol. Dies wird im HS256-Signaturalgorithmus zur Generierung der Signatur verwendet.
  Beschreibung (optional)	Fügen Sie bei Bedarf eine Beschreibung hinzu.
  App-Logo hochladen (optional)	Laden Sie ein App-Logo hoch (optional). Die App wird im Endbenutzer-Dashboard mit dem hier konfigurierten Logo angezeigt.




• Klicken Sie auf Gespeichert.
• Sie werden zum. Weitergeleitet Richtlinien .



• Klicken Sie auf Gruppe zuweisen Taste. Ein neuer Gruppenzuordnung konfigurieren Ein Modal-Tab wird geöffnet.
  • Gruppe zuweisen: Wählen Sie die Gruppen aus, die Sie mit der Anwendung verknüpfen möchten. Sie können bis zu 20 Gruppen gleichzeitig auswählen.
  
  
  
  • Falls Sie eine neue Gruppe erstellen möchten, klicken Sie auf Neue Gruppe hinzufügen .
  • Geben Sie den Gruppennamen ein und klicken Sie auf Gruppe erstellen.
  
  
  
  • Klicken Sie auf Weiter.
  • Richtlinien zuweisen: Fügen Sie den ausgewählten Gruppen die erforderlichen Richtlinien hinzu. Geben Sie folgende Details ein:
  • Erster Faktor: Wählen Sie die Anmeldemethode aus dem Dropdown-Menü aus.
  • Wenn Sie auswählen Passwort Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) und Adaptive Authentifizierung, wenn benötigt.
  • Wenn Sie auswählen Passwortlos Als Anmeldemethode können Sie aktivieren 2-Faktor-Authentifizierung (MFA) wenn benötigt.



• Klicken Sie auf GespeichertFür alle ausgewählten Gruppen werden Richtlinien erstellt.
• Die Richtlinie wird angezeigt, sobald sie erfolgreich hinzugefügt wurde.



• Klicken Sie auf Erweitert Tab.
• Geben Sie bei Bedarf die folgenden Details ein:

  Zugangstoken	Geben Sie das Zugriffstoken ein, das nach der Anmeldung eines Benutzers an Ihre Umleitungs-URL gesendet wird. Anhand dieses Tokens erkennt Ihre App, dass der Benutzer auf bestimmte Funktionen zugreifen darf.
  Ablauf des ID-Tokens (in Min.)	Legen Sie fest, wie lange (in Minuten) das ID-Token gültig sein soll. Nach Ablauf dieser Zeit muss sich der Benutzer erneut anmelden, um ein neues Token zu erhalten.
  Betreff	Wählen Sie aus, welche Informationen (z. B. die E-Mail-Adresse des Benutzers) zur Identifizierung im Token verwendet werden sollen. So erkennt Ihre App, welcher Benutzer angemeldet ist.
  Signaturalgorithmus	Wählen Sie Ihren Signaturalgorithmus aus der Dropdown-Liste aus.
  Die Abmelde-URL Ihrer Anwendung	Geben Sie die Webadresse ein, an die Benutzer nach der Abmeldung weitergeleitet werden sollen.
  Gemeinsame Identität aktivieren	Mit dieser Funktion können Sie steuern, ob eine bestimmte Anwendung von einem gemeinsam genutzten Benutzer aufgerufen werden kann oder nicht.




• Signaturalgorithmen für JWT

RSA-SHA256

• Asymmetrisch, verwendet einen Satz privater und öffentlicher Schlüssel zum Generieren und Validieren der Signatur, die im JWT-Token enthalten ist.
• Der private Schlüssel wird zum Generieren der Signatur auf der IDP-Seite verwendet.
• Der öffentliche Schlüssel wird verwendet, um die Signatur auf der SP-Seite zu überprüfen.
• Den öffentlichen Schlüssel hierzu stellen wir zur Verfügung.



HS256

• Symmetrisch, verwendet den gleichen geheimen Schlüssel zum Generieren und Validieren der Signatur
• Der geheime Schlüssel kann in diesem Fall auf der App-Konfigurationsseite konfiguriert werden.
• Wechseln Sie zu Anmeldeoptionen Tab.

  Primärer Identitätsanbieter	Wählen Sie die Standard-ID-Quelle aus der Dropdown-Liste für die Anwendung. Andernfalls wird den Benutzern der Standard-Anmeldebildschirm angezeigt und sie können ihren eigenen IDP auswählen. [Wählen Sie in diesem Fall miniOrange.]
  Authentifizierung erzwingen	Wenn Sie diese Option aktivieren, müssen sich Benutzer jedes Mal anmelden, auch wenn ihre Sitzung bereits besteht.
  Benutzerzuordnung aktivieren	Aktivieren Sie diese Option, wenn die App bei der Antwort anzeigen soll, welcher Benutzer angemeldet ist.
  Auf Endbenutzer-Dashboard anzeigen	Aktivieren Sie diese Option, wenn Sie diese App im Endbenutzer-Dashboard anzeigen möchten.




• Wechseln Sie zu Attribute Tab.
• Option „Mehrwertige Attribute aktivieren“:



• Wenn diese Option aktiviert ist, werden sowohl Kommas (,) als auch Semikolons (;) als Trennzeichen behandelt. Jedes Attribut, das diese Zeichen enthält, wird automatisch aufgeteilt und basierend auf seiner Positionierung in ein mehrwertiges Attribut umgewandelt.
• Diese Funktion stellt sicher, dass Attribute mit mehreren Werten in einer strukturiertes Format anstatt als einzelne verkettete Zeichenfolge.
• Beispielsweise: Wenn diese Option aktiviert ist, werden Attribute als Liste angezeigt wie Rollen = ['Administrator', 'Editor', 'Betrachter'] anstelle einer einzelnen Zeichenfolge wie Rollen = "Administrator; Editor; Betrachter".
• Wenn diese Option ist behindert, Attribute, die als einzelne, mit Kommas (,) und Semikolons (;) verkettete Zeichenfolge gespeichert sind, werden so behandelt, wie sie gespeichert sind, und nicht als strukturierte Liste.
• In diesem Fall werden Kommas (,) und Semikolons (;) nicht als Trennzeichen behandelt, sodass die Werte in einer Zeichenfolge zusammengefasst bleiben.
• Navigieren Endpunkte und kopieren Sie die folgenden Details:



• Single Sign-On-URL:
  • Diese URL wird verwendet, um die Benutzerauthentifizierung zum Abrufen des JWT-Tokens zu initiieren.
  • Nehmen Sie redirect_uri als einen der Abfrageparameter.
  • Nach erfolgreicher Authentifizierung auf der IDP-Seite wird im IDP eine aktive Benutzersitzung erstellt und der Benutzer mit dem JWT-Token zum Redirect_uri weitergeleitet.
• Single-Logout-URL:
  • Diese URL wird verwendet, um den Benutzer vom IDP abzumelden, indem die aktive Benutzersitzung entfernt wird.
  • Nehmen Sie redirect_uri als einen der Abfrageparameter.
  • Nach dem Entfernen der aktiven Benutzersitzung leitet der IDP den Benutzer zum Redirect_uri weiter.
• Antwort-URL für vom IdP initiierte Abmeldung:
  • Diese URL wird verwendet, um die Abmeldung einzuleiten, falls die JWT-Benutzeranmeldung über IDP initiiert wurde [Benutzer hat sich beim Dashboard angemeldet
    und dann vom Dashboard aus den Login für die App initiiert.]
  • Nachdem sich der Benutzer vom IDP abgemeldet hat, wird er zur Anmeldeseite des IDP-Dashboards weitergeleitet.

Externe Referenzen

• Was ist Identity Brokering?
• Erfahren Sie mehr über SSO