OAuth . הגדרת ספק . 2

Roost תומך במנגנוני אימות שונים כפי שצוין להלן

1. אוקטה
2. גוגל
3. מיקרוסופט ת'ור ADFS
   

הגדרת לקוח אימות OKTA

• היכנס לחשבון OKTA שלך עם הרשאות מנהל ( אם אין לך חשבון Okta קיים, הירשם בדף הבית | מפתח Okta )
• מתפריט הניווט השמאלי, עבור אל יישומים -> יישומים.
• בחר צור אינטגרציית אפליקציה ← OIDC - OpenID Connect ← יישום אינטרנט, לאחר מכן לחץ על הבא
• מלאו את  שם האינטגרציה המתאים לאפליקציה, העלו את הלוגו.
• הוסף  כתובות URI להפניה מחדש של כניסה
  • https://<שם_DNS>/התחברות
• אפשר גישה למשתמשים דרך משימות → גישה מבוקרת
  • בחר את קבוצות המשתמשים או אפשר גישה לכולם
• שמור ורשום לעצמך את מזהה הלקוח של Okta ואת סוד הלקוח (יש צורך בכך בהמשך בתצורה למטה)
• מתפריט הניווט השמאלי, עבור אל אבטחה -> API
• רשום לעצמך את  ה-URI של המנפיק עבור שרת ההרשאות המוגדר כברירת מחדל
  • משהו כמו https://{your_domain}.okta.com/oauth2/default

הגדרת לקוח אימות גוגל

• שילוב כניסה מגוגל באפליקציית האינטרנט שלך | כניסה מגוגל לאתרי אינטרנט | מפתחי גוגל

• התחבר אל https://console.cloud.google.com/apis/credentials

• צור אישורים, בחר לקוח OAuth וסוג יישום כאפליקציית אינטרנט

• הוסף מקור JavaScript מורשה כ
  

  • https://<שם_DNS>

   

• הוסף כתובות URI מורשות להפניה מחדש

  • https://<שם_DNS>/התחברות

  • https://<שם_DNS>/api/auth/redirect/google

• הורד את קובץ ה-JSON

• רשום לעצמך את מזהה הלקוח של גוגל ואת סוד הלקוח (נדרש בהמשך בתצורה למטה)

הגדרת לקוח אימות Azure ADFS

Roost 0Auth2 Setup - Windows Server 2016/2019 - ADFS 4.0

1. פתח את מנהל השרתים מתפריט התחל, בחר כלים > ניהול AD FS

2. ממסך ניהול AD FS , עבור אל AD FS ➜ קבוצות יישומים

3. לחץ על הוסף קבוצת יישומים בחלונית הימנית

1. מלא שם ( Roost ) עבור קבוצת היישומים

2. בחר דפדפן אינטרנט של יישום שרת שניגש ל-API אינטרנטי ולחץ על הבא

3. שימו לב לערך של מזהה הלקוח . זה יהיה הערך של AZURE_ADFS_CLIENT_IDהמשתנה

4. מלאו את כתובת ה-URI להפניה ( https://<DNS_NAME>/login ) ולחצו על הוסף, לאחר מכן על הבא

5. סמן את התיבה צור סוד משותף

6. השתמשו בלחצן העתק ללוח כדי לאחזר את הסוד. זה יהיה הערך של AZURE_ADFS_CLIENT_SECRETהמשתנה. לחצו על הבא

7. הזן את מזהה ה-Web API (זהה ל-RedirectUri - https://<DNS_NAME>/login ) ולחץ על הוסף, לאחר מכן על הבא.

8. במסך מדיניות בקרת גישה , בחר מדיניות, בדרך כלל אפשר לכולם ולחץ על הבא

9. במסך הגדרת הרשאות יישום , בחר את ה- openid של ההיקף ולחץ על הבא

10. סקור את ההגדרות ולחצו על הבא

11. סגור את האשף על ידי לחיצה על סגור . האפליקציה שלנו רשומה כעת ב- ADFS .

1. כעת, עלינו להגדיר את התביעות עבור היישום

1. פתחו את המאפיינים עבור קבוצת היישומים שזה עתה יצרנו.

2. בחר את ערך יישום האינטרנט ( Roost - Web API ) ולחץ על עריכה

3. בכרטיסייה כללי טרנספורמציה של הנפקה , לחץ על לחצן הוסף כלל

4. בחר שלח מאפייני LDAP כתביעות ולחץ על הבא

5. תן שם לכלל ( Roost Claims ) ובחר את Active Directory כמאגר המאפיינים.

6. כעת הגדר את התביעות הבאות ( תכונת LDAP => סוג תביעה יוצאת ):

1. כתובות דוא"ל => כתובת דוא"ל

2. שם פרטי => שם פרטי

3. שם משפחה => שם משפחה

4. שם חשבון SAM => שם חשבון Windows

5. שם משתמש ראשי => UPN

1. לחץ על סיום כדי לשמור את התביעות

2. כעת אתה אמור לראות את הכלל נוסף. לחץ על אישור מספר פעמים כדי לשמור את ההגדרות.

1. כעת ההתקנה הושלמה. קבענו את שלושת הערכים הבאים כמשתני סביבה:

1. AZURE_ADFS_CLIENT_ISSUER- תחום   של שרת ADFS ( https://adfs.contoso.com )

2. AZURE_ADFS_CLIENT_ID  - מזהה לקוח של יישום שרת

3. AZURE_ADFS_CLIENT_SECRET  - סוד הלקוח שהעתקנו ללוח

אם אינך רוצה להשתמש בסוד הלקוח, הוסף יישום מקורי והעביר AZURE_ADFS_CLIENT_SECRETאת המשתנה כריק.