OAuth . הגדרת ספק . 2

Roost supportsתומך variousבמנגנוני authenticationאימות mechanismsשונים asכפי mentionedשצוין belowלהלן

1. Oktaאוקטה
2. Googleגוגל
3. Microsoftמיקרוסופט Azureת'ור ADFS
   

הגדרת לקוח אימות OKTA Auth Client Setup

• Signהיכנס in to yourלחשבון OKTA accountשלך withעם adminהרשאות privilegesמנהל ( Ifאם youאין doלך not have an existingחשבון Okta account,קיים, thenהירשם sign-upבדף at Homeהבית | מפתח Okta Developer )
• Fromמתפריט theהניווט leftהשמאלי, navigationעבור menu,אל go to Applicationsיישומים -> Applications.יישומים.
• Selectבחר Createצור Appאינטגרציית Integrationאפליקציה →← OIDC - OpenID Connect →← Webיישום Application,אינטרנט, thenלאחר clickמכן Nextלחץ על הבא
• Fillמלאו inאת  theשם suitableהאינטגרציה Appהמתאים integrationלאפליקציה, name,העלו uploadאת the logo.הלוגו.
• Addהוסף  Sign-inכתובות redirectURI URIsלהפניה מחדש של כניסה
  • https://<DNS_NAMEשם_DNS>/loginהתחברות
• Allowאפשר Accessגישה toלמשתמשים usersדרך thru Assignmentsמשימות → Controlledגישה Accessמבוקרת
  • Selectבחר theאת groupsקבוצות ofהמשתמשים usersאו orאפשר Allowגישה access to everyoneלכולם
• Saveשמור andורשום Makeלעצמך aאת noteמזהה ofהלקוח theשל Okta Clientואת IDסוד and the Client Secretהלקוח (Itיש isצורך neededבכך laterבהמשך inבתצורה the config below)למטה)
• Fromמתפריט theהניווט leftהשמאלי, navigationעבור menu,אל go to Securityאבטחה -> API
• Makeרשום aלעצמך noteאת  ofה-URI Issuerשל URIהמנפיק forעבור defaultשרת Authorisationההרשאות Serverהמוגדר כברירת מחדל
  • somethingמשהו likeכמו https://{your_domain}.okta.com/oauth2/default

Googleהגדרת Authלקוח Clientאימות Setupגוגל

• Integratingשילוב Googleכניסה Sign-Inמגוגל intoבאפליקציית yourהאינטרנט web appשלך | כניסה Googleמגוגל Sign-Inלאתרי for Websitesאינטרנט | מפתחי Google Developersגוגל

• Loginהתחבר toאל https://console.cloud.google.com/apis/credentials

• Createצור Credentials,אישורים, Selectבחר לקוח OAuth Clientוסוג andיישום Applicationכאפליקציית Type as Web Applicationאינטרנט

• Addהוסף Authorisedמקור JavaScript Originמורשה asכ
  

  • https://<DNS_NAMEשם_DNS>

   

• Addהוסף Authorisedכתובות redirectURI URIsמורשות להפניה מחדש

  • https://<DNS_NAMEשם_DNS>/loginהתחברות

  • https://<DNS_NAMEשם_DNS>/api/auth/redirect/google

• Downloadהורד theאת קובץ ה-JSON

• Makeרשום aלעצמך noteאת ofמזהה theהלקוח Googleשל Clientגוגל IDואת andסוד the Client Secretהלקוח (Itנדרש isבהמשך neededבתצורה later in the config below)למטה)

הגדרת לקוח אימות Azure ADFS Auth Client Setup

Roost 0Auth2 Setup - Windows Server 2016/2019 - ADFS 4.0

1. Openפתח theאת Serverמנהל Managerהשרתים fromמתפריט Startהתחל, Menu,בחר כלים Select Tools > ניהול AD  FS Management

2. From theממסך ניהול AD  FS Management, screen,עבור goאל to AD  FS ➜ Applicationקבוצות Groupsיישומים

3. Clickלחץ על Addהוסף Applicationקבוצת Groupיישומים onבחלונית right panelהימנית

1. Fillמלא in a nameשם ( Roost ) forעבור theקבוצת application groupהיישומים

2. Selectבחר Serverדפדפן Applicationאינטרנט Webשל browserיישום accessingשרת aשניגש webל-API APIאינטרנטי andולחץ clickעל Nextהבא

3. Makeשימו noteלב ofלערך theשל Clientמזהה Identifierהלקוח value.. Thisזה willיהיה beהערך theשל value for the AZURE_ADFS_CLIENT_ID variableהמשתנה

4. Fillמלאו theאת Redirectכתובת ה-URI להפניה ( https://<DNS_NAME>/login ) andולחצו clickעל Add,הוסף, thenלאחר Nextמכן על הבא

5. Checkסמן theאת התיבה Genrateצור aסוד shared secret box

6. Use the Copy to clipboard button to retrieve the secret. This will be the value for the AZURE_ADFS_CLIENT_SECRET variable. Click Nextמשותף

7. Enterהשתמשו theבלחצן העתק ללוח כדי לאחזר את הסוד. זה יהיה הערך של AZURE_ADFS_CLIENT_SECRETהמשתנה. לחצו על הבא

8. הזן את מזהה ה-Web API identifier(זהה (Same as ל-RedirectUri - https://<DNS_NAME>/login ) andולחץ clickעל Add,הוסף, thenלאחר מכן על Nextהבא.

9. Onבמסך theמדיניות בקרת גישה , בחר מדיניות, בדרך כלל Accessאפשר Controlלכולם Policyולחץ screen,על select a policy, usually Permit everyone and click Nextהבא

10. Onבמסך theהגדרת הרשאות יישום , בחר את ה- Configure Application Permissions screen, select the scope openid שלand clickההיקף ולחץ על Nextהבא

11. Reviewסקור theאת settingsההגדרות andולחצו clickעל Nextהבא

12. Closeסגור theאת wizardהאשף byעל clickingידי לחיצה על Closeסגור . Ourהאפליקציה applicationשלנו isרשומה nowכעת registeredב- in ADFS .

1. Now,כעת, weעלינו needלהגדיר toאת Configureהתביעות theעבור Claims for Applicationהיישום

1. Openפתחו theאת Propertiesהמאפיינים forעבור theקבוצת applicationהיישומים groupשזה weעתה just created.יצרנו.

2. Selectבחר theאת ערך Webיישום applicationהאינטרנט entry ( Roost - Web API ) andולחץ clickעל Editעריכה

3. Onבכרטיסייה theכללי טרנספורמציה של הנפקה , לחץ על לחצן Issuanceהוסף Transform Rules tab, click the Add Rule button

4. Select Send LDAPכלל Attributes as Claims and click Next

5. Giveבחר theשלח ruleמאפייני aLDAP nameכתביעות (ולחץ על Roost Claimsהבא) and select Active Directory as the attribute store.

6. Nowתן configureשם the below claimsלכלל ( Roost Claims ) ובחר את Active Directory כמאגר המאפיינים.

7. כעת הגדר את התביעות הבאות ( תכונת LDAP Attribute => Outgoingסוג Claimתביעה Typeיוצאת ):

1. E-Mail-Addressesכתובות דוא"ל => E-Mailכתובת Addressדוא"ל

2. Given-Nameשם פרטי => Givenשם Nameפרטי

3. Surnameשם משפחה => Surnameשם משפחה

4. SAM-Account-Nameשם חשבון SAM => שם חשבון Windows Account Name

5. User-Principal-Nameשם משתמש ראשי => UPN

1. Clickלחץ Finishעל סיום toכדי saveלשמור theאת claimsהתביעות

2. Youכעת shouldאתה nowאמור seeלראות theאת ruleהכלל added.נוסף. Clickלחץ על OKאישור aמספר coupleפעמים ofכדי timesלשמור toאת save the settings.ההגדרות.

1. Nowכעת theההתקנה setupהושלמה. isקבענו complete.את Weשלושת setהערכים theseהבאים 3כמשתני values as environment variables:סביבה:

1. AZURE_ADFS_CLIENT_ISSUER  - Domainתחום   ofשל שרת ADFS ( Server (https://adfs.adfs.contoso.com ))

2. AZURE_ADFS_CLIENT_ID  - Clientמזהה Identifierלקוח ofשל serverיישום applicationשרת

3. AZURE_ADFS_CLIENT_SECRET  - Clientסוד Secretהלקוח weשהעתקנו copied to clipboardללוח

Ifאם don’tאינך wantרוצה toלהשתמש useבסוד Clientהלקוח, Secret,הוסף thenיישום Addמקורי anוהעביר Native Application and pass AZURE_ADFS_CLIENT_SECRETאת variableהמשתנה as emptyכריק.