Einleitung
Um eine eine Applikation mit dem Identity Store der CoreOne Suite zu bedienen muss diese mit allen Clients und dessen Flows vorgängig erfasst und entsprechend Konfiguriert werden. Die Applikation kann Beisielsweise ein ERP System sein. Dieses ERP System kann wiederum über ein Web Inferface und eine Desktop Anwendung verfügen. Beide müssen als Clients dieser Applikation erfasst werden. Greift der Backend Dienst des ERP Systems über das CoreOne Suite Application Interface auf Daten zu, muss dieser auch als Client erfasst werden.
Applikation
Folgende Konfigurationsparameter sind vorhanden:
Parameter | Pflichtfeld | Beispiel-Werte | Beschreibung |
---|---|---|---|
Name | Pflicht | CoreOneSuite | Name der Applikation |
State | Pflicht | 1 | Status der Applikation |
Role Claim Type Name | c1s_role | Falls vorhanden, der Name der Role Claims die speziell für diese Applikation erfasst wurden |
Client
Folgende Konfigurationsparameter sind vorhanden:
Parameter | Pflichtfeld | Beispiel-Werte | Beschreibung |
---|---|---|---|
Name | Pflicht | CoreOne Suite | Eindeutiger Name des Clients. |
Identifier | Pflicht | CoreOneSuite | Eindeutiger Identifier des Clients. Wird beim Validieren der Access Tokens bzw. beim Lösen derer verwendet. |
Redirect Uri | Pflicht | regex:https://localhost(?:/.*)? | Wohin der Benutzer nach erfoglreichem Login weitergeleitet werden darf. Die Redirect Uri kann von der Applikation angegeben werden. Sie wird jedoch mit dem angegebenen Regex geprüft. |
Require Client Secret | Pflicht | true | Ob für den Verbindungsaufbau bzw. das Lösen des Tokens ein Client Secret verwendet werden soll. Ist abhängig vom konfiguriertem Flow. |
Identity Token Liftetime | Pflicht | 300 | Wieviele Minuten ein Identity Token gültig ist |
Access Token Liftetime | Pflicht | 300 | Wieviele Minuten ein Access Token gültig ist |
Authorization Code Lifetime | Pflicht | 300 | Wieviele Minuten ein Authorization Code gültig ist |
Absolut Refresh Token Lifetime | Pflicht | 300 | Wieviele Minuten ein Token alt sein darf, bevor er nicht mehr erneuert werden kann. Absolut heisst hier, wieviele Minuten ab Ausstellungszeitpunkt. |
Sliding Refresh Token Lifetime | Pflicht | 300 | Wieviele Minuten ein Token alt sein darf, bevor er nicht mehr erneuert werden kann. Sliding heisst hier, dass der Token mehrmals erneuert werden kann und der neue Token wieder für x Minuten gültig ist. |
Require PKCE | Pflicht | false | Ist bei gewissen Client erforderlich. |
Allow Plain Text PKCE | Pflicht | true | Ob der PKCE als Plain Text übermittelt werden darf oder nicht. |
Allow Access Token via Browser | Pflicht | true | Ob der Access Token via Browser geliefert werden darf. |
Allow Offline Access | Pflicht | true | Ob ein Refresh Token ausgestellt wird oder nicht. |
Always Include User Claims in ID Token | Pflicht | false | Ob der User Claim im ID Token enthalten sein soll oder nicht. |
Update Access Token Claims on Refresh | Pflicht | true | Ob die Access Tokens beim Refresh erneuert werden sollen oder nicht. |
Include JWT Id | Pflicht | false | Ob die Token ID im Token ausgeliefert werden soll oder nicht. |
Post Logout Redirect URIS | Pflicht | regex:https://localhost(?:/.*)? | Wohin der Benutzer nach erfoglreichem Logout weitergeleitet werden darf. Die Redirect Uri kann von der Applikation angegeben werden. Sie wird jedoch mit dem angegebenen Regex geprüft. |
Refresh Token Usage Type Id | Pflicht | 1 | Für ReUse den Wert 1 setzen, für OneTime den Wert 2 setzen. |
Refresh Token Expiration Type Id | Pflicht | 1 | Für Absolute den Wert 1 setzen, für Sliding den Wert 2 setzen. |
Access Token Type | Pflicht | 1 | Für JWT den Wert 1 setzen, für Reference den Wert 2 setzen. |
Logon Method Id | Pflicht | 1 | Die zu verwendende Logon Methode |
Flows
Pro Client können unterschiedliche Flows definiert werden. Hier ist eine Liste der zur Verfügung stehenden Flows.
Flow ID | Beschreibung |
---|---|
1 | Authorization Code |
2 | Implicit |
3 | Hybrid |
4 | Client Credentials |
5 | Password |
6 | Custom |
Logon Methoden
Folgende Standard Logon Methoden stehen zur Verfügung. Die Liste ist nicht abschliessend und dienen nur zur Illustration. Die Liste der vollständigen Logon Methoden entnehmen sie ihrer Installation.
Flow ID | Beschreibung |
---|---|
1 | Password |
2 | TOTP |
How-to Artikel