OpenID Connect

OpenID è un modo semplice e sicuro per le persone di riutilizzare un account esistente e un profilo utente da un provider OpenID. Connetti il tuo provider OpenID (OP) come metodo di single sign-on (SSO).

La parte fidata (RP) è Zammad e il provider OpenID è un servizio software che ospiti o a cui ti abboni (ad es. Keycloak).

Suggerimento

  • Questa guida presuppone che tu stia già utilizzando OpenID Connect all’interno della tua organizzazione (cioè che il tuo OP sia completamente configurato).

  • L’implementazione attuale di OpenID Connect in Zammad richiede OpenID Connect Discovery per semplificare la configurazione.

  • La connessione tra Zammad e il tuo OP deve essere sicura. Entrambi i sistemi devono essere raggiungibili tramite HTTPS. I certificati autofirmati non sono supportati.

  • Le nostre istruzioni si basano sulla connessione di Zammad con Keycloak.

  • PKCE supporta attualmente solo SHA256 come metodo di challenge code.

Passaggio 1: Configura il tuo OP

Aggiungi un nuovo Client

Crea un nuovo client nel tuo OP con le seguenti impostazioni:

Impostazioni generali

  • Tipo di client: OpenID Connect

  • ID client: zammad (o qualsiasi altro nome preferisci)

Configurazione capacità

  • Autenticazione client: Disattivata

  • Flusso di autenticazione: Flusso standard

Impostazioni di login

  • URI di reindirizzamento validi: https://your.zammad.domain/auth/openid_connect/callback

  • URI di reindirizzamento post logout validi: https://your.zammad.domain/*

  • Origini web: +

Nelle Impostazioni di logout per il client appena creato, imposta l”URL di logout backchannel su https://your.zammad.domain/auth/openid_connect/backchannel_logout e attiva Richiesto sessione di logout backchannel.

Se desideri utilizzare PKCE, devi passare alla scheda Avanzate e selezionare S256 in Impostazioni avanzate come metodo di challenge code per PKCE.

Passaggio 2: Configura Zammad

Abilita OpenID Connect e inserisci i dettagli del tuo OP nel Pannello di Amministrazione sotto Impostazioni > Sicurezza > Applicazioni di terze parti > Autenticazione tramite OpenID Connect:

Esempio di configurazione di OpenID Connect
Nome visualizzato

Ti permette di definire un nome personalizzato per il pulsante OpenID Connect. Questo aiuta i tuoi utenti a capire meglio cosa fa il pulsante sulla pagina di login.

Il default è OpenID Connect.

Identificatore

L’ID client che hai definito nel tuo OP.

Emittente

L’URL dell’emittente del tuo OP. Usato per la discovery.

Campo UID

Qui puoi definire un attributo che identifica univocamente l’utente. Se non impostato, viene utilizzato sub.

Scope

Gli scope che Zammad dovrebbe richiedere all’OP. Di default sono openid, email e profile.

PKCE

Attualmente è supportato solo SHA256 come metodo di challenge code.

Vedi collegamento automatico account per dettagli su come collegare account Zammad esistenti ad account OP.