Proces konfiguracji w typowym przypadku polega na podaniu w dedykowanym
formularzu w panelu administracyjnym organizacji, pięciu wartości konfiguracyjnych
specyficznych dla systemu, który zostaje podłączony jako dostawca uwierzytelnienia
(uzyskanych od administratora podłączonego systemu uwierzytelnienia):
- Adres Authorization URL - adres inicjacji procesu uwierzytelnienia.
- Adres Token URL - adres API uzyskania tokenu.
- Adres User Info URL - adres, pod którym można wymienić uzyskany token na
informacje o użytkowniku.
- Client ID i Client Secret - wartości przydzielone dla systemu Autenti w systemie
uwierzytelnienia, pozwalające Autenti zidentyfikować się w połączonym systemie.
Znaczenie wszystkich parametrów jest standardowe dla protokołu OpenID Connect
zgodnie z jego specyfikacją. Połączenie w przypadkach niestandardowych można także
dostosować w zakresie żądanych parametrów zakresu informacji o użytkowniku
przekazywanych Autenti (tzw. scope) oraz mechanizmu prezentacji danych
uwierzytelniających aplikacji Autenti - jednak typowo wartości te nie wymagają zmiany.
W trakcie konfiguracji, po stronie podłączonego systemu uwierzytelniania należy także
skonfigurować adres tzw. redirect URL, czyli adres, na który zostaje przekierowana
przeglądarka użytkownika po uwierzytelnieniu. Wartość adresu podana jest w polu
formularza w wygodny do skopiowania sposób. Dodatkowo, jeśli podłączony system tego
wymaga, należy dopuścić połączenia z domeny autenti.com. Przykładowy formularz
konfiguracji (na przykładzie Okta) pokazany jest poniżej:.png?width=688&height=395&name=image%20(29).png)
Przed zapisaniem konfiguracji Autenti umożliwia jej przetestowanie - sprawdzając czy
ustawienia są poprawne i właściwa konfiguracja została ustawiona także w połączonym
systemie - jest to kluczowe, gdyż ewentualny błąd w konfiguracji może spowodować
niemożność zalogowania się (także niemożność zalogowania administratora).
Należy także sprawdzić, czy adresy e-mail użytkowników zwracane przez podłączony
system korespondują z adresami skonfigurowanymi dla użytkowników w Autenti..png?width=480&height=264&name=image_480%20(1).png)
Po udanej konfiguracji należy poinformować użytkowników o dedykowanym adresie
logowania za pomocą SSO - i skonfigurowanie (np. dodanie do zakładek) jako adres
logowania w Autenti. Pozwoli to na automatyczne przekierowanie użytkowników od razu
do zewnętrznego systemu uwierzytelnienia, bez podawania żadnych danych w Autenti.
Ze względów bezpieczeństwa niemożliwe jest uwierzytelnienie użytkownika nie będącego
użytkownikiem danej organizacji. Od chwili skonfigurowania SSO to administrator
podłączonego systemu SSO decyduje, którzy użytkownicy mogą się uwierzytelnić, zgodnie z
możliwościami tego systemu.
Podpowiedź do integracji z Micorsoft Azure:
Authorization URL to "authorization_endpoint": https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Token URL to "token_endpoint": https://login.microsoftonline.com/common/oauth2/v2.0/token
User info URL to "userinfo_endpoint": https://graph.microsoft.com/oidc/userinfo