Настройка способа входа OpenID Connect

Способ входа OpenID Connect предназначен для организации входа в информационные системы через внешний сервис идентификации, поддерживающий протокол OpenID Connect/OAuth2.0.

Настройка на стороне внешней системы

  1. Создать приложение во внешнем сервисе идентификации.

Настройка на стороне сервиса Trusted.ID

  1. В сервисе Trusted.ID создать провайдер по шаблону Kloud.One.
  2. Заполнить настройки способа входа:
    • Название способа входа;
    • Описание способа входа - описание, которое будет отображаться при наведении на способ входа на форме авторизации;
    • Логотип способа входа;
      provider-oidc-main.png
    • Идентификатор ресурса (Client_id) - client id приложения, созданного во внешнем сервисе идентификации;
    • Секретный ключ (client_secret) – Секретный ключ приложения, созданного во внешнем сервисе идентификации;
    • Базовый адрес сервера авторизации (issuer) - адрес сервиса внешней идентификации;
    • Адрес авторизации (Аuthorization_endpoint);
    • Адрес выдачи токена (token_endpoint);
    • Адрес получения информации о пользователе (userinfo_endpoint);
    • Запрашиваемые разрешения - запрашиваемые разрешения, предусмотренные внешним сервисом идентификации;
    • Mapping - сопоставление атрибута пользователя Trusted.ID с атрибутом пользователя во внешней системе идентификации (в формате given_name:givenName, family_name:familyName, email:email);
    • ProviderId [не редактируемое] - ID способа входа;
      provider-oidc-params.png
    • Дополнительные параметры способа входа:
    • Публичный способ входа – при включении тогла способ входа будет доступен для добавления в другие приложения сервиса. Редактирование и удаление способа входа доступны только Владельцу сервиса в настройках личного кабинета;
    • Требовать подтверждение паролем –при входе пользователя после авторизации во внешней системе идентификации будет запрошен пароль пользователя в сервисе Trusted.ID;
    • Авторегистрация пользователей – при первой авторизации пользователя через данный способ входа, в сервисе будет автоматически создан профиль пользователя с данными из внешней системы идентификации;
    • Не требовать наличие электронной почты – при входе пользователя в сервис через данный способ входа при отсутствии адреса электронной почты в профиле не будет требоваться его добавление.
      provider-mail-addition.png
  3. При необходимости, добавить способ входа в виджет сервиса или приложения.
  4. В сервис/приложение можно входить, используя созданный способ входа.

provider-oidc-widget.png