Einrichtung von SSO mit einem externen OpenID-Authentifizierungsserver
Dieses Dokument beschreibt den Betrieb und die Konfiguration von BlueMind mit einem externen OpenID-Authentifizierungsserver.
Voraussetzungen
- Einen funktionierenden OpenID-Server haben
- den BlueMind Authentifizierungsclient auf dem OpenID-Server autorisiert haben.
Notieren Sie sich nach der Konfiguration die folgenden Informationen, die Sie für die Konfiguration von BlueMind verwenden werden:
- URL des Drittanbieter-OpenID-Servers
- OpenId (manchmal auch als Application ID bezeichnet)
- Kundengeheimnis OpenId.
Funktionsweise der OpenID-Authentifizierung
Für eine erste Authentifizierung :
- Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
- Da er noch nicht authentifiziert wurde, leitet der BlueMind-Server ihn zur Authentifizierung an den OpenID-Server um.
- Nach der Authentifizierung wird ein openID-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket, das er einlösen muss, zu BlueMind weitergeleitet wird.
- Der BlueMind Server :
- sieht dieses Ticket,
- fragt den openID-Server, ob er gültig ist,
- Wenn dies der Fall ist, erlaubt die Verbindung und setzt ein BlueMind Cookie in den Browser.
Bei der nächsten Authentifizierung :
- Der Kunde fordert erneut Zugang zum BlueMind Server an.
- Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.
Konfiguration
-
Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.
ℹ️ Compte administrateur
La procédure concerne la configuration du domaine, il est donc possible et préférable d'utiliser un compte administrateur de domaine plutôt que le superutilisateur admin0. -
Wählen Sie die Authentifizierungsmethode OpenID aus dem Dropdown-Menü und füllen Sie die entsprechenden Felder aus:

- URL des OpenID-Servers eines Drittanbieters: Geben Sie die URL des OpenID-Servers an, über den die Liste der Endpunkte abgerufen werden kann.
Par exemple, sur Keycloak, c'est une URL de la forme :https://{openid-server}/realms/{realm}/.well-known/openid-configuration
Remplacer:{openid-server}durch den Hostnamen des OpenID-Servers{realm}durch den auf dem Server konfigurierten Realm
- Kundennummer OpenId
- Kundengeheimnis OpenId.
- URL des OpenID-Servers eines Drittanbieters: Geben Sie die URL des OpenID-Servers an, über den die Liste der Endpunkte abgerufen werden kann.
-
Klicken Sie auf "Speichern", um die Änderungen zu speichern.
Die Benutzer werden automatisch zum OpenID-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen**.