私のアプリケーションにいくつかの標準化されたSSOメカニズムを提供したいと思います(いくつかの異なるクライアント、バックエンドのサービス数が増えています)。 OIDC/OAuth 2が適切なツールであるかどうかは疑問です。 私が見たすべての例では、エンドユーザーはリソース所有者であり、アクセス許可を求めるページにRediderictingすることによって、一部の外部アプリケーションにアクセス許可を与えるかどうかを決定します。 私のユースケースは異なりますが、私はシステム内でOAuthを使用したい(apis、Webページなどの場合):リソース所有者はデータベースを持つサービス(アクセス権を持っている管理者)で、エンドユーザはリソースを取得しようとしますシステムから。ユーザーは何も許可することはできません、彼は付与することができます。シングルサインオンという名前の最も古典的なシナリオだと思います。 OAuth 2(またはOpenId Connect)で標準フローがありますか?それは達成可能ですか?あるいは間違ったツールを見ていますか?OpenId connect(OAuth 2):リソースオーナーがエンドユーザ(SSO)でない場合のフローをどのように見ますか?
答えて
OIDC/OAuthは、消費者シナリオとエンタープライズシナリオの両方に使用できます。 OAuthの同意ステップは、消費者指向のシナリオで有用です。あなたのようなエンタープライズシナリオを扱うときは、少なくともエンタープライズのアプリケーションでは暗黙的なので、同意を求めることに何の意味もありません。 OAuth/OIDCによって確実にカバーされています。認証サーバーは同意を求める必要はなく、特定のクライアントに対してそのステップをスキップするように構成できます(通常は)。だから:同意なしにOpenID Connectを使うのが適切だろう。
あなたの用途には、OpenID ConnectとOAuth Client_Credsフローの組み合わせを使用できます。たとえば、一部のDBから従業員のデータを従業員に表示する必要があるHRMSアプリケーションがあるとします。 OAuthのサーバへのクライアントとして
-
OpenIDプロバイダとの
- 登録HRMS
- 登録HRMS(OpenIDサーバとのOAuth Serverが同じであってもよい)
ユーザーがHRMSアプリケーションに来る:
。 Id_token Cookieがない場合はIDPにリダイレクト
b。 IDPが認証され、成功した場合IDトークン付きSPにリダイレクトされます
c。トークンが有効な場合、SPはそのトークンをブラウザに自身の別のリダイレクトを使用して、ホームページに設定します。
今すぐすべての処理はサーバ側になります: a。 HRMSアプリがIDPをヒットしてユーザーデータを取得します
b。成功した場合は、OAuthサーバにアクセスしてaccess_tokenを取得します。
c。成功した場合、それはDBサービスに話をaccess_tokenはを使用して データ
SP =サービスプロバイダーを取得し、IDP = IDプロバイダ 実際の流量は、セキュリティ上の考慮事項に基づいて、少し異なる場合があります。 これが役に立つと願っています。
- 1. OAuth 2.0とOpenID Connect
- 2. OAuth 2.0 OpenID Connectループバックとキークローキング
- 3. OpenID Connectはどのように機能しますか?
- 4. リソースオーナーのパスワード認証情報フローと「remebmer me」機能(Cookieなど)
- 5. ノードアプリケーションでGoogle OAuth 2.0 JWT(OpenID Connect)をデコードするにはどうすればよいですか?
- 6. OpenID Connectを使用したSSOの実装とトークンの使用
- 7. OpenID Connect軽量ライブラリ
- 8. MVCクライアントまたはそのエンドユーザ間でWeb APIリソースを保護するために使用するOpenID Connect認証フローは何ですか?
- 9. 識別子にユーザ名がない場合、どのようにOpenIDユーザ名を特定するのですか?
- 10. OktaのOpenID OAuthの統合
- 11. OpenID Connect暗黙のフロー:リダイレクトを使用して応答しますか?
- 12. OpenIDプロバイダとOpenID WebRing SSOプロバイダの違いは何ですか?
- 13. OpenIdへの接続connect
- 14. OpenIdステートレスSSOのログアウト接続
- 15. OWIN OpenID Connectミドルウェアはリソース所有者フローをサポートしています
- 16. なぜ2つのトークンがあるのですか?OpenID ConnectのアクセスとID
- 17. DocuSign OAuth Flow + Connect
- 18. シングルサインオン(SSO)サービスは暗黙のフローをサポートしていますか?
- 19. SignalRとOpenId Connect
- 20. Keycloak、openId-connect userInfo
- 21. openid connect in identityserver4
- 22. OAuth 2.0とOpenID Connectの連携の仕方についての問題
- 23. Google OpenId Connect with OpenID 2.0のマッピングは、2017年1月1日にどうなりますか?
- 24. RestKit OAuth 2パスワード認証フロー
- 25. OpenID Connectサーバー。
- 26. GoogleのハイブリッドOpenID + OAuthログインでOAuthアクセスを要求しない
- 27. 私のウェブサイト*はFacebook Connect、Google Friend Connect、OpenID、*、*などを介して安全に*ログインを許可できますか?
- 28. LinkedIn OpenID Connectプロバイダですか? AWS Cognito Federated Identityでどのように使用できますか?
- 29. ドメイン名の制限がある場合、facebookのoauthでどのように開発を行うのですか?
- 30. 同じアカウントの複数のログインチャンス(Facebook-Connect、Oauth、OpenIDなど)を可能にするデータベーススキーマ
このタイプのシナリオの例/チュートリアルをOIDCで指摘できますか。 IdentityServerで簡単に達成できるという知識はありますか? – rideronthestorm