Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 9 Next »


Einleitung

Um eine Applikation mit dem Identity Store der CoreOne Suite zu bedienen, muss diese mit allen Clients und dessen Flows vorgängig erfasst und entsprechend konfiguriert werden. Die Applikation kann beispielsweise ein ERP System sein. Dieses ERP System kann wiederum über ein Web-Interface und eine Desktop Anwendung verfügen. Beide müssen als Clients dieser Applikation erfasst werden. Greift der Backend Dienst des ERP Systems über das CoreOne Suite Application Interface (API) auf Daten zu, muss dieser auch als Client erfasst werden.


Applikation

Folgende Konfigurationsparameter sind vorhanden:

Parameter

Pflichtfeld

Beispiel-Werte

Beschreibung

Name

PflichtCoreOneSuite

Name der Applikation

StatePflicht1Status der Applikation
Role Claim Type Name
c1s_role

Falls vorhanden, der Name der Role Claims die speziell für diese Applikation erfasst wurden

Is TrustedPflichtfalseStandardmässig muss der Benutzer seine Zustimmung erteilen sobald der OIDC Scope Offline Access angefordert wird. Dieses Verhalten ist auch korrekt, da die Applikation auf die Benutzerdaten auch dann zugreifen kann, wenn der Benutzer nicht angemeldet ist. In gewissen Fällen, ist diese Zustimmung aber nicht gewünscht und kann durch das Setzen dieses Feldes übersteuert werden. Ein Beispiel für einen solchen Fall ist die CoreOne Suite selber. Die Applikation ist so oder so im Besitz der Benutzerdaten und es macht daher keinen Sinn, den Benutzer bei jeder Anmeldung um seine Zustimmung zu Fragen.

Client

Folgende Konfigurationsparameter sind vorhanden:

Parameter

Pflichtfeld

Beispiel-Werte

Beschreibung

NamePflichtCoreOne SuiteEindeutiger Name des Clients.

Identifier

PflichtCoreOneSuite

Eindeutiger Identifier des Clients. Wird beim Validieren der Access Tokens bzw. beim Lösen derer verwendet.

Redirect UriPflichtregex:https://localhost(?:/.*)?Wohin der Benutzer nach erfoglreichem Login weitergeleitet werden darf. Die Redirect Uri kann von der Applikation angegeben werden. Sie wird jedoch mit dem angegebenen Regex geprüft.
Require Client SecretPflichttrueOb für den Verbindungsaufbau bzw. das Lösen des Tokens ein Client Secret verwendet werden soll. Ist abhängig vom konfiguriertem Flow.
Identity Token LiftetimePflicht300Wieviele Minuten ein Identity Token gültig ist
Access Token LiftetimePflicht300Wieviele Minuten ein Access Token gültig ist
Authorization Code LifetimePflicht300Wieviele Minuten ein Authorization Code gültig ist
Absolut Refresh Token LifetimePflicht300

Wieviele Minuten ein Token alt sein darf, bevor er nicht mehr erneuert werden kann. Absolut heisst hier, wieviele Minuten ab Ausstellungszeitpunkt.

Sliding Refresh Token LifetimePflicht300Wieviele Minuten ein Token alt sein darf, bevor er nicht mehr erneuert werden kann. Sliding heisst hier, dass der Token mehrmals erneuert werden kann und der neue Token wieder für x Minuten gültig ist. 
Require PKCEPflichtfalseIst bei gewissen Client erforderlich.
Allow Plain Text PKCEPflichttrueOb der PKCE als Plain Text übermittelt werden darf oder nicht.
Allow Access Token via BrowserPflichttrueOb der Access Token via Browser geliefert werden darf.
Allow Offline AccessPflichttrueOb ein Refresh Token ausgestellt wird oder nicht.
Always Include User Claims in ID TokenPflichtfalseOb der User Claim im ID Token enthalten sein soll oder nicht.
Update Access Token Claims on RefreshPflichttrueOb die Access Tokens beim Refresh erneuert werden sollen oder nicht.
Include JWT IdPflichtfalseOb die Token ID im Token ausgeliefert werden soll oder nicht.
Post Logout Redirect URISPflichtregex:https://localhost(?:/.*)?Wohin der Benutzer nach erfoglreichem Logout weitergeleitet werden darf. Die Redirect Uri kann von der Applikation angegeben werden. Sie wird jedoch mit dem angegebenen Regex geprüft.
Refresh Token Usage Type IdPflicht1Für ReUse den Wert 1 setzen, für OneTime den Wert 2 setzen.
Refresh Token Expiration Type IdPflicht1Für Absolute den Wert 1 setzen, für Sliding den Wert 2 setzen.
Access Token TypePflicht1Für JWT den Wert 1 setzen, für Reference den Wert 2 setzen.
Logon Method IdPflicht1Die zu verwendende Logon Methode

Flows

Pro Client können unterschiedliche Flows definiert werden. Hier ist eine Liste der zur Verfügung stehenden Flows.

Flow ID

Beschreibung

Verwendung
1Authorization CodeViele PHP Frameworks unterstützen nur diesen Flow
2ImplicitStandard Flow. Die meisten .NET Implementierungen verwenden diesen Flow.
3Hybrid-
4Client Credentials-
5Password-
6Custom-

Logon Methoden

Folgende Standard Logon Methoden stehen zur Verfügung. Die Liste ist nicht abschliessend und dienen nur zur Illustration. Die Liste der vollständigen Logon Methoden entnehmen sie ihrer Installation.

Flow ID

Beschreibung

1Password
2TOTP

Verwandte Artikel


  • No labels