Jak skonfigurować SSO?

Proces konfiguracji w typowym przypadku polega na podaniu w dedykowanym

formularzu w panelu administracyjnym organizacji, pięciu wartości konfiguracyjnych

specyficznych dla systemu, który zostaje podłączony jako dostawca uwierzytelnienia

(uzyskanych od administratora podłączonego systemu uwierzytelnienia):

  1. Adres Authorization URL - adres inicjacji procesu uwierzytelnienia.
  2. Adres Token URL - adres API uzyskania tokenu.
  3. Adres User Info URL - adres, pod którym można wymienić uzyskany token na

informacje o użytkowniku.

  1. Client ID i Client Secret - wartości przydzielone dla systemu Autenti w systemie

uwierzytelnienia, pozwalające Autenti zidentyfikować się w połączonym systemie.


Znaczenie wszystkich parametrów jest standardowe dla protokołu OpenID Connect

zgodnie z jego specyfikacją. Połączenie w przypadkach niestandardowych można także

dostosować w zakresie żądanych parametrów zakresu informacji o użytkowniku

przekazywanych Autenti (tzw. scope) oraz mechanizmu prezentacji danych

uwierzytelniających aplikacji Autenti - jednak typowo wartości te nie wymagają zmiany.


W trakcie konfiguracji, po stronie podłączonego systemu uwierzytelniania należy także

skonfigurować adres tzw. redirect URL, czyli adres, na który zostaje przekierowana

przeglądarka użytkownika po uwierzytelnieniu. Wartość adresu podana jest w polu

formularza w wygodny do skopiowania sposób. Dodatkowo, jeśli podłączony system tego

wymaga, należy dopuścić połączenia z domeny autenti.com. Przykładowy formularz

konfiguracji (na przykładzie Okta) pokazany jest poniżej:
image (29)

Przed zapisaniem konfiguracji Autenti umożliwia jej przetestowanie - sprawdzając czy

ustawienia są poprawne i właściwa konfiguracja została ustawiona także w połączonym

systemie - jest to kluczowe, gdyż ewentualny błąd w konfiguracji może spowodować

niemożność zalogowania się (także niemożność zalogowania administratora).

Należy także sprawdzić, czy adresy e-mail użytkowników zwracane przez podłączony

system korespondują z adresami skonfigurowanymi dla użytkowników w Autenti.

image_480 (1)

Po udanej konfiguracji należy poinformować użytkowników o dedykowanym adresie

logowania za pomocą SSO - i skonfigurowanie (np. dodanie do zakładek) jako adres

logowania w Autenti. Pozwoli to na automatyczne przekierowanie użytkowników od razu

do zewnętrznego systemu uwierzytelnienia, bez podawania żadnych danych w Autenti.

Ze względów bezpieczeństwa niemożliwe jest uwierzytelnienie użytkownika nie będącego

użytkownikiem danej organizacji. Od chwili skonfigurowania SSO to administrator

podłączonego systemu SSO decyduje, którzy użytkownicy mogą się uwierzytelnić, zgodnie z

możliwościami tego systemu.


Podpowiedź do integracji z Micorsoft Azure:

Authorization URL to  "authorization_endpoint": https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Token URL to  "token_endpoint": https://login.microsoftonline.com/common/oauth2/v2.0/token
User info URL to "userinfo_endpoint": https://graph.microsoft.com/oidc/userinfo