Dotyczy wersji 2021.1.1 autor: Michał Bednarz
Od wersji 2021 WEBCON BPS umożliwia wykorzystanie dowolnego dostawcy autentykacji wykorzystującego standard OpenID Connect. Poniżej przedstawiona zostanie konfiguracja na przykładzie Google. W przypadku innych dostawców autentykacji wygląda ona analogicznie.
Konfiguracja po stronie dostawcy.
Konieczne jest zarejestrowanie aplikacji po stronie dostawcy, w tym przypadku Google. Konfiguracja opisana jest pod adresem: https://developers.google.com/identity/protocols/oauth2/openid-connect.
Integracja dostawcy uwierzytelniania w WEBCON BPS wymaga, aby dostawca implementował w pełni protokół OpenID Connect. Konieczne jest aby dostępny był endpoint z metadanymi (autodiscovery) pod adresem <Authority>/.well-known/openid-configuration.
Podczas rejestracji uzyskamy dane niezbędne do konfiguracji:
- Identyfikator klienta
- Tajny klucz klienta
Należy pamiętać aby podczas konfiguracji określić identyfikator URI przekierowania, adres ten musi być w formacie https://<adres-witryny-w-formacie-fqdn>/signin-<nazwa-schematu>
Konfiguracja po stronie WEBCON BPS.
W BPS Designer Studio ustawieniach systemu w sekcji dostawcy autentykacji należy zaznaczyć OpenID Connect i kliknąć Nowy. Następnie należy wypełnić pola konfiguracji:
- Aktywne w Designer Studio oraz aktywne w BPS Portal – decyduje do których elementów systemy będzie można zalogować się przy pomocy konfigurowanego dostawcy.
- Schemat – nazwa wewnętrzna dostawcy, musi być różna od „AAD” oraz „Google” oraz unikalna.
- Nazwa wyświetlana – będzie widoczna w panelu wyboru dostawcy autentykacji.
- Adres hosta – dane dostarczone przez dostawcę autentykacji, w przypadku Google https://accounts.google.com/
- Wystawca – dane dostarczone przez dostawcę autentykacji, w przypadku Google https://accounts.google.com/
- Id klienta – Id aplikacji zarejestrowanej po stronie dostawcy.
- Hasło klienta – hasło do aplikacji zarejestrowanej po stronie dostawcy.
- URL wylogowania – nie jest obligatoryjny, podczas wylogowania użytkownik zostanie przekierowany na ten adres, w przypadku pozostawienia pustej strony, użytkownik zostanie przekierowany na adres wylogowania BPS Portal.
- Zakres – lista danych koniecznych dla BPS w celu identyfikacji użytkownika, domyślnie dodane są już „profile” oraz „email”. W przypadku innych implementacji serwera openID możliwe że konieczne będzie dodanie innych zakresów.
Po zakończeniu konfiguracji należy zapisać ustawienia i wykonujemy restart puli aplikacji portalu. Konieczne jest również nadanie uprawnień dla konta Google. Aby to zrobić należy przejśc do listy użytkowników BPS, tam na zakładce użytkownicy BPS należy dodać nowego użytkownika. Ważne aby BPS ID oraz email były identyfikatorami użytkownika w Google. Następnie należy dodać uprawnienia do systemu nowemu użytkownikowi.
Więcej informacji na temat dodawania użytkowników znajduje się pod adresem: https://community.webcon.com/posts/post/bps-users-list/211
Weryfikacja działania.
Należy przejść na adres witryny https://<adres-witryny-w-formacie-fqdn, nastąpi automatyczne przekierowanie stronę wyboru dostawcy autentykacji. Należy wybrać dodanego wyżej dostawcę, w opisanym przypadku Google.
Wybór skutkuje przekierowaniem do strony autentykacji Google gdzie w zależności czy użytkownik jest już zalogowany w przeglądarce należy zalogować się do konta Google lub wybieramy swoje konto Google z dostępnej listy. W razie potrzeby należy zezwolić aplikacji na dostęp do danych użytkownika. Po zalogowaniu następuje przekierowanie do strony portalu, w menu użytkownika widać że użytkownik jest zalogowany do systemu poprzez konto Google:
Kliknięcie wyloguj skutkuje wylogowaniem użytkownika i przekierowaniem do wskazanej w konfiguracji lub domyślnej strony logowania.
