OpenID Connect

OpenID је лак и једноставан начин да искористите постојећи налог и кориснички профил од OpenID провајдера. Повежите свој OpenID провајдер (OP) као метод јединствене пријаве (SSO).

Zammad је „relying party” (RP) а OpenID провајдер је сервис који или хостујете сами или га користите у облаку (нпр. Keycloak).

Путоказ

  • Овај водич претпоставља да већ користите OpenID Connect у својој организацији (тј. да је ваш OP у потпуности подешен).

  • Тренутна имплементација OpenID Connect у Zammad-у захтева OpenID Connect Discovery сервис ради једноставног подешавања.

  • Конекција између Zammad-а и вашег OP мора да буде сигурна. Оба система морају бити доступни преко HTTPS протокола. Самостално издати сертификати нису подржани.

  • Наша упутства су базирана на повезивању Zammad-а са Keycloak-ом.

  • PKCE тренутно подржава само SHA256 као метод генерације кључа за проверу.

Корак 1: Подесите свој OP

Додајте новог клијента

Додајте новог клијента у вашем OP са следећим подешавањима:

Општа подешавања

  • Врста клијента: OpenID Connect

  • ID клијента: zammad (или неки други назив ако преферирате)

Подешавање могућности

  • Аутентификација клијента: искључена

  • Ток аутентификације: стандардни

Подешавања пријаве

  • Важеће URL адресе редирекције: https://your.zammad.domain/auth/openid_connect/callback

  • Важеће URL адресе редирекције за одјаву: https://your.zammad.domain/*

  • Web порекла: +

У подешавањима одјаве за ново-креираног клијента, подесите URL адресу позадинског канала за одјаву на https://your.zammad.domain/auth/openid_connect/backchannel_logout и укључите захтевање позадинског канала за одјаву сесије.

Уколико желите да користите PKCE, мораћете да се пребаците на Advanced језичак и одаберете S256 под Advanced settings као метод генерације PKCE кључа за проверу.

Корак 2: Подесите Zammad

Укључите OpenID Connect и унесите детаље свог OP-а у администраторском панелу под Подешавања > Безбедност > Апликације трећег лица > Аутентификација путем OpenID Connect:

Пример подешавања OpenID Connect
Назив за приказ

Омогућава вам да одредите прилагођени назив дугмета за OpenID Connect. Ово помаже вашим корисницима да боље разумеју шта ради дугме на страници за пријаву.

Подразумевано је OpenID Connect.

Идентификатор

ID клијента који сте дефинисали у вашем OP.

Издавач

URL адреса издавача вашег OP. Користи се за откривање подешавања.

UID поље

Овде можете одредити назив атрибута који јединствено идентификује корисника. Уколико није подешено, биће коришћен sub.

Опсези

Опсези које Zammad треба да затражи од OP. Подразумевано укључује openid, email и profile.

PKCE

Тренутно је подржан само SHA256 као метод генерације кључа за проверу.

Погледајте аутоматско повезивање налога за детаље о томе како да повежете постојеће Zammad налоге са OP налозима.