Создание и редактирование приложения

Создание приложения

Чтобы создать приложение:

  1. Перейдите в модуль Приложения → вкладка Приложения.
  2. Нажмите кнопку Создать app-create1.png.

  3. Откроется форма создания.

  4. Нажмите Создать.

При создании формируются дополнительные поля приложения, которые можно посмотреть и отредактировать в настройках приложения:

  • Идентификатор (client_id) – публичная строка, которая используется для идентификации приложения, и для создания авторизационных URL для пользователей;
  • Секретный ключ (client_secret) - используется для аутентификации подлинности приложения, когда приложение запрашивает доступ к аккаунту пользователя. Секретный ключ должен быть известен только приложению.

Расширенный набор параметров доступен при редактировании приложения.

Редактирование приложения

Чтобы отредактировать настройки приложения:

  1. Перейдите в модуль Приложения → вкладка Приложения.
  2. Нажмите на панель с приложением, которое необходимо отредактировать.
  3. Откроется форма просмотра приложения.
  4. Нажмите на кнопку Редактировать app-edit-button.png.

  5. Откроется форма редактирования приложения.

    app-edit-button.png

  6. Внесите изменения в разделах:

  7. Нажмите Сохранить.

Настройки приложения

Основная информация

Название Описание
Название приложения Название, которое будет отображаться в интерфейсе сервиса Trusted.ID и виджете входа
Описание приложения Краткое описание, которое будет отображаться в интерфейсе сервиса Trusted.ID
Логотип Изображение, которое будет отображаться в интерфейсе сервиса Trusted.ID и виджете входа
Отображать в каталоге Приложение будет отображаться на вкладке Каталог модуля Паспор (ID)
Обложка приложения Изображение, которое будет выведено в шапке виджета входа

app-create1.png

Параметры приложения

Название Параметр Описание
Идентификатор client_id Уникальный идентификатор приложения. Возможно быстро скопировать значение, используя соответствующую кнопку в поле
Секретный ключ client_secret Значение скрыто, должен быть известен только приложению. Возможно показать значение или скопировать
Адрес приложения - Сайт информационной системы, на котором будет использоваться вход через Trusted.ID
Отображать в каталоге - Приложение будет отображаться на вкладке Каталог модуля Паспорт (ID)
Ограниченный доступ - Вход в приложение доступен только для пользователей с правами «Администратор»
Возвратный URL Redirect_uri URL, на который сервер Trusted.ID будет перенаправлять пользователя после аутентификации. После того как пользователь аутентифицируется и даст согласие на доступ к своим данным, сервер перенаправляет пользователя обратно на Redirect_uri с кодом авторизации, ID токеном или другой информацией, в зависимости от запрошенного response_type.
URL выхода из системы post_logout_redirect_uri URL, на который сервис будет перенаправлять пользователя после выхода. Если значение не указано, то используется Возвратный URL (Redirect_uri)
URL запроса аутентификации или восстановления после аутентификации #1 request_uris список URL-адресов, на которых система разместила запросы авторизации в формате JWT (Request Object). Когда система отправляет запрос на авторизацию серверу, она может просто указать параметр request_uri, который ссылается на один из URL-адресов, определенных в этом списке. Сервер затем извлекает объект запроса JWT по этому URL для обработки запроса.
Тип ответов response_types

Тип ответов, которые возвращает авторизационный сервер. Эти типы ответов определяют, какие токены и коды будут возвращены системе.

- code - получит только код авторизации, который она затем может обменять на токен доступа;
- id_token - получит только ID токен, который содержит информацию о профиле пользователя;
- code id_token - получит код авторизации и ID токен;
- code token - получит код авторизации и токен доступа;
- code id_token token - получит код авторизации, ID токен и токен доступа;
- none - используется, когда не требуется получения кода авторизации, токена доступа или ID токена через перенаправление. Может быть полезным в случаях, когда необходимо подтвердить аутентификацию пользователя, но не требуется доступ к его данным.

Типы предоставления доступа grant_types

Cпособ получения авторизации для доступа к защищенным ресурсам.

- authorization code - используется для получения доступа к серверу авторизации через промежуточный сервер клиента, что помогает обеспечить безопасность, поскольку токен доступа не передается напрямую клиенту (рекомендуется использовать);
- implicit - данный тип в протоколах OpenID Connect (OIDC) и OAuth 2.0 был разработан для сценариев, где клиентскому приложению не требуется или не удается безопасно хранить долгосрочные секреты. В таких случаях, после аутентификации пользователя, сервер авторизации непосредственно выдает токен доступа клиенту;
- refresh_token - позволяет приложению получать новый токен доступа, используя уже полученный токен обновления, без необходимости повторного ввода учетных данных пользователя;
- urn:ietf:params:oauth:grant-type:device_code - позволяет включить возможность входа в приложение по QR-коду.

Метод аутентификации клиента для конечной точки получения токена token_endpoint_auth_method

Метод, который клиент использует для аутентификации при обращении к token endpoint сервера авторизации.

- none - не предоставляет учетные данные при обращении к token endpoint. Этот метод используется, когда клиент не может конфиденциально хранить учетные данные или когда аутентификация не требуется;
- client_secret_post - отправляет свои учетные данные в теле запроса;
- client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

Выбор метода аутентификации зависит от требований безопасности приложения и способности клиента безопасно хранить свои учетные данные. Например, методы client_secret_jwt и private_key_jwt обеспечивают более высокий уровень безопасности, так как используют асимметричное шифрование и позволяют избежать передачи секретов клиента через сеть.

Метод аутентификации, используемый при доступе к конечной точке проверки токена introspection_endpoint_auth_method

Метод, который клиент использует при обращении к introspection endpoint. Эта конечная точка используется для проверки состояния токена доступа и получения информации о нем.

- none - не предоставляет учетные данные при обращении к introspection endpoint;
- client_secret_post - отправляет свои учетные данные в теле запроса;
- client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

Выбор метода зависит от требований безопасности и возможностей клиента. Например, методы, использующие JWT, обеспечивают дополнительный уровень безопасности за счет использования подписанных токенов, что предотвращает необходимость передачи секретов клиента через сеть.

Метод аутентификации, используемый при доступе к конечной точке отзыва токенов revocation_endpoint_auth_method

Определяет метод аутентификации, который клиент использует при обращении к revocation endpoint. Эта конечная точка используется для отзыва токенов доступа или обновления токенов. Этот метод обычно совпадает с методами, используемыми для token endpoint и introspection endpoint.

- none - не предоставляет учетные данные при обращении к revocation endpoint;
- client_secret_post - отправляет свои учетные данные в теле запроса;
- client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.
Алгоритм подписи, используемый при создании подписанного ID-токена id_token_signed_response_alg Указывает алгоритм, который используется для подписи ID токена. ID токен — это JSON Web Token (JWT), который содержит утверждения (claims) о аутентификации пользователя
Проверка наличия времени аутентификации require_auth_time Указывает, должен ли сервер авторизации предоставить время аутентификации пользователя в токене ID. Если этот параметр включен, сервер авторизации включает в ID токен утверждение auth_time, которое представляет собой время, когда пользователь в последний раз выполнил аутентификацию
Параметр для обеспечения безопасности передачи данных между клиентом и сервером авторизаци require_signed_request_object Указывает, требуется ли подписанный Request Object при отправке запроса на авторизацию. Request Object — это способ безопасной передачи параметров авторизации от клиента к серверу авторизации, обычно в форме JWT (JSON Web Token). Когда require_signed_request_object включен, клиент должен подписать Request Object с использованием заранее согласованного алгоритма подписи, который указан в конфигурации клиента.
Способ передачи ID пользователя в идентификационном токене subject_type

Определяет способ, которым идентификатор пользователя (sub claim) представляется клиенту. Этот параметр влияет на то, как пользовательские идентификаторы генерируются и управляются.

- public - идентификатор пользователя является одинаковым для всех клиентов. Это означает, что каждый клиент будет видеть один и тот же sub claim для пользователя;
- pairwise - идентификатор пользователя уникален для каждого клиента. Это обеспечивает большую конфиденциальность, так как разные клиенты не смогут связать активность пользователя между собой. pairwise часто используется в сценариях, где необходимо защитить приватность пользователя от различных клиентов.

Параметры приложения

Способы входа

В разделе настраиваются способы входа для приложения.

По умолчанию в виджете для входа используется логин/пароль пользователя в сервисе. Для виджета должен быть выбран хотя бы один способ входа. Подробнее про способы входа в инструкции Управление способами входа.

app-edit3.png

Внешний вид виджета приложения

В разделе можно настроить параметры:

Название Описание
Показывать логотип приложения на виджете При включении тогла рядом с названием приложения отображается изображение, загруженное в качестве логотипа в разделе Основная информация
Скрыть шапку При включении тогла в шапке виджета скрывается надпись <Авторизуйтесь пользователем Trusted>
Скрыть подвал При включении тогла в подвале виджета скрывается надпись со Сведениями об авторских правах
Заголовок виджета В строке ввода задается название приложения, в которое пользователь авторизуется. По умолчанию Вход на <Название приложения>
Цвет кнопок Задается цветовая схема для фона кнопки по hex-коду
Цвет шрифта на кнопках Задается цветовая схема для текста кнопки по hex-коду
Цвет ссылок Задается цветовая схема для цвета текстовых кнопок с ссылками по hex-коду
Дополнительное информационное поле Дополнительный информационный текст. Текст выводится в первом окне виджета авторизации под блоком со способами входа.

Кроме того, в виджете входа может быть выведена обложка, если она загружена в блоке Основная информация.

app-edit3.png