Konfigurieren: ESA mit Keycloak
Erfahren Sie, wie Sie den Efecte Secure Access mit keycloak als Identitätsanbieter konfigurieren.
Konfigurieren: ESA mit Keycloak
Erfahren Sie, wie Sie den Efecte Secure Access mit keycloak als Identitätsanbieter konfigurieren.
So konfigurieren Sie die Authentifizierung für Keycloak
In diesem Artikel werden Anweisungen zur Konfiguration Efecte Secure Access Komponente beschrieben, um Endbenutzer von Kunden für Efecte-Lösungen (wie z. B. IGA , ITSM usw.) authentifizieren zu können, die auf der Efecte Service Management Platform aufbauen und Keycloak als Identitätsanbieter verwenden. Dieser Prozess beinhaltet die Authentifizierung von Benutzern über OpenID
Schritt-für-Schritt-Anleitung
- Melden Sie sich mit ESA Admin (main.admin) bei der URL domain.com/auth /admin an
- Wählen Sie den richtigen Bereich in der linken oberen Ecke aus
- Öffnen Sie die Einstellungen Pro im linken Seitenbereich
- Fügen Sie einen neuen Anbieter hinzu, indem Sie OpenID Connect v1.0 auswählen
- Name des Identitätsanbieters (wie gewünscht)
- Fügen Sie URLs zur Authentifizierung hinzu (der Kunde stellt diese von Keycloak bereit)
- Optional: Validierungssignaturen können aktiviert werden, der Kunde stellt die URL für JWKS bereit
- Client-Geheimnis und Passwort hinzufügen (diese werden vom Kunden bereitgestellt)
- Scrollen Sie nach unten und wählen Sie die Schaltfläche „Hinzufügen“ (dadurch wird der Identitätsanbieter gespeichert).
- Nachdem die obige Konfiguration abgeschlossen ist, erscheint auf der ESA Anmeldeseite eine neue Anmeldeoption, die Sie zur Keycloak -Anmeldeseite weiterleitet.
ESA Mapper-Konfiguration
Nachdem Sie sich mit der neuen Schaltfläche bei Okta angemeldet haben, wird der folgende Bildschirm auf dem Bildschirm angezeigt. Dies bedeutet, dass ESA weitere Konfigurationen für die Mapper benötigt.
Um den Benutzer von ESA an andere Systeme (ESM, ESS, IGA ) weiterzuleiten, muss ESA den Kontext des Benutzers kennen. Zu diesem Zweck speichert ESA einige Metadaten, die jeden Benutzer beschreiben, der versucht hat, sich anzumelden.
Der obige Bildschirm wird angezeigt, weil ESA nicht alle erforderlichen Daten vom Pro abrufen kann und den Benutzer auffordert, alle erforderlichen Daten manuell einzugeben.
Wir können das überwinden und eine Automatisierung vorbereiten, die Attribute mit Daten, die von Okta kommen, automatisch den vom ESA Benutzer benötigten Attributen zuordnet.
- Melden Sie sich mit ESA Admin (main.admin) bei der URL domain.com/auth an
- Öffnen Sie die Einstellungen Pro im linken Seitenbereich
- Gehen Sie zum Abschnitt „Mapper“. Hier ist ein Beispiel, wie sie definiert werden sollten.
- Verwenden Sie für E-Mails den Mapper-Typ „Attribute Importer“.
Ordnen Sie das Benutzerattribut „E-Mail“ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress zu.
- Verwenden Sie für den Benutzernamen den Mapper-Typ „Username Attribute Importer“.
Ordnen Sie das Benutzernamenattribut username dem Namen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ zu.
- Verwenden Sie für den Nachnamen den Mapper-Typ „Attribute Importer“.
Ordnen Sie das Benutzerattribut lastName http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname zu.
- Für den Vornamen verwenden Sie den Mapper-Typ Attribute Importer. Ordnen Sie das Benutzerattribut firstName zu http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Notiz!
Beachten Sie, dass ESA zum vollständigen Verständnis des Benutzers VIER obligatorische Zuordnungen benötigt: Benutzername, E-Mail, Vorname und Nachname.
Nach diesen Schritten:
- Stellen Sie sicher, dass in ESM eine Personendatenkarte erstellt wird.
- Stellen Sie sicher, dass die Person den richtigen Wert in uid hat – dieser wird später als Anmeldename verwendet.
Wenn die obigen Schritte abgeschlossen sind, erstellt ESM während des Anmeldevorgangs das fehlende Benutzerobjekt, verknüpft es mit der bereits vorhandenen Person und fährt mit der Startseite von ITSM für die angegebene Rolle fort.
Beispiel für OpenID -Identitätsanbieter
