Siirry pääsisältöön

Cosafe Support Center


tiedot

This translation has not been approved yet, read in English to be sure you get an accurate article.

OpenID Connect (OIDC) -määritys

Tämä opas opastaa sinua määrittämään OpenID Connect -kertakirjautumisen (SSO) Cosafen kanssa käyttäen Authorization Code Flow -menetelmää. Cosafe käyttää PKCE:tä lisäturvatoimena client secretin rinnalla.

Esivaatimukset

  • Käyttäjien on oltava olemassa Cosafessa ennen kuin he voivat kirjautua sisään SSO:n kautta. Luo käyttäjät manuaalisesti tai määritä SCIM-provisiointi ensin.
  • Tarvitset pääsyn identiteetintarjoajan (IdP) hallintakonsoliin.
  • Tarvitset pääsyn Cosafen hallintapaneeliin.

Vaihe 1: Luo OIDC-sovellus IdP:hen

Luo IdP:hen uusi sovellusrekisteröinti seuraavilla asetuksilla:

  • Sovellustyyppi: Web-sovellus
  • Grant type: Authorization Code Flow (Cosafe hoitaa PKCE:n automaattisesti)
  • Redirect URI: https://login.cosafe.com/login/sso
  • Vaaditut scope-arvot: openid, email, profile

Kun olet luonut sovelluksen, ota muistiin seuraavat arvot — tarvitset niitä vaiheessa 2:

  • Client ID
  • Client Secret
  • Authorization endpoint
  • Token endpoint
  • JWKS URI (JSON Web Key Set -päätepiste)
  • Issuer
vinkki

Useimmat IdP:t julkaisevat nämä päätepisteiden URL-osoitteet discovery-dokumentissa osoitteessa https://<your-idp>/.well-known/openid-configuration.

Vaihe 2: Määritä Cosafen hallintapaneeli

  1. Siirry Account-sivulle.
  2. Klikkaa Integration-välilehteä.
  3. Valitse pudotusvalikosta Sign-On provider (OpenID).
  4. Syötä seuraavat tiedot IdP:stäsi:
    • Client ID — luomasi sovelluksen yksilöllinen tunniste.
    • Client Secret — sovellukseesi liittyvä salaisuus.
    • Authorization endpoint — URL-osoite, johon käyttäjät ohjataan tunnistautumaan.
    • Token endpoint — URL-osoite, jota käytetään valtuutuskoodin vaihtamiseen tokeneihin.
    • JWKS URI — URL-osoite, josta haetaan JSON Web Key Set tokenien vahvistamista varten.
    • Issuer — IdP:n issuer-tunniste.
  5. Lisää domainit — määritä niiden käyttäjien sähköpostidomainit, jotka käyttävät SSO:ta.
    • Lisätäksesi useita domaineja, klikkaa +Add domain ja syötä jokainen domain.
  6. Tallenna asetukset.

Vaihe 3: Testaa yhteys

  1. Avaa incognito-/yksityisselausikkuna.
  2. Siirry Cosafen kirjautumissivulle.
  3. Syötä sellaisen testikäyttäjän sähköpostiosoite, jonka domain on määritetty SSO:lle.
  4. Sinut tulisi ohjata IdP:hen tunnistautumista varten.
  5. Tunnistautumisen jälkeen sinut tulisi ohjata takaisin Cosafeen ja kirjata sisään.

Jos testi epäonnistuu, varmista että:

  • Käyttäjä on olemassa Cosafessa sähköpostilla, joka vastaa määritettyä domainia.
  • IdP:n redirect URI vastaa täsmälleen: https://login.cosafe.com/login/sso
  • Kaikki päätepisteiden URL-osoitteet ovat oikein — varmista IdP:n discovery-dokumentista (/.well-known/openid-configuration).
  • Client ID ja Client Secret ovat oikein.
Vahvasti suositeltavaa: Ota MFA käyttöön identiteetintarjoajassasi

Kun käytät SSO:ta, Cosafe delegoi kaiken tunnistautumisvastuun identiteetintarjoajallesi. Cosafe ei pakota omaa 2FA:taan SSO-kirjautumisille.

Varmista, että monivaiheinen tunnistautuminen (MFA) on otettu käyttöön ja pakotettu IdP:ssäsi kaikille Cosafea käyttäville käyttäjille. Tämä on yksittäinen tehokkain toimenpide, jolla voit suojata organisaatiosi tilejä.

Lisätietoja löydät SSO-johdantosivultamme.