מסמך זה תורגם על ידי בינה מלאכותית. לכל אי דיוק, אנא עיין בגרסה האנגלית
אימות: OIDC
This feature is provided by the plugin «הזדהות: OIDC»This feature is provided by the commercial plugin «הזדהות: OIDC», please purchase to useמבוא
תוסף אימות: OIDC פועל לפי תקן פרוטוקול OIDC (Open ConnectID), ומשתמש בתהליך קוד האישור (Authorization Code Flow) כדי לאפשר למשתמשים להתחבר ל-NocoBase באמצעות חשבונות המסופקים על ידי ספקי שירותי אימות זהות חיצוניים (IdP).
הפעלת התוסף
הוספת אימות OIDC
עברו אל דף ניהול תוספי אימות המשתמשים.
הוספה - OIDC
הגדרות
הגדרות בסיסיות
| הגדרה | תיאור | גרסה |
|---|---|---|
| הרשמה אוטומטית כאשר המשתמש אינו קיים | האם ליצור משתמש חדש באופן אוטומטי אם לא נמצא משתמש קיים תואם. | - |
| Issuer | ה-Issuer מסופק על ידי ה-IdP, ובדרך כלל מסתיים ב-/.well-known/openid-configuration. | - |
| Client ID | מזהה לקוח | - |
| Client Secret | סוד לקוח | - |
| scope | אופציונלי, ברירת המחדל היא openid email profile. | - |
| id_token signed response algorithm | אלגוריתם החתימה של id_token, ברירת המחדל היא RS256. | - |
| הפעלת יציאה יזומה על ידי RP | הפעלת יציאה יזומה על ידי RP. כאשר המשתמש מתנתק, מתנתקים גם מה-IdP. כתובת ה-URL להפניה חוזרת לאחר יציאה (Post logout redirect URL) של ה-IdP צריכה להיות זו המסופקת בשימוש. | v1.3.44-beta |
מיפוי שדות
| הגדרה | תיאור |
|---|---|
| מיפוי שדות | מיפוי שדות. NocoBase תומכת במיפוי שדות כמו כינוי, אימייל ומספר טלפון. ברירת המחדל לכינוי היא openid. |
| השתמש בשדה זה לקישור המשתמש | השדה המשמש להתאמה וקישור למשתמשים קיימים. ניתן לבחור אימייל או שם משתמש, כאשר אימייל הוא ברירת המחדל. פרטי המשתמש המסופקים על ידי ה-IdP חייבים לכלול את השדות email או username. |
הגדרות מתקדמות
| הגדרה | תיאור | גרסה |
|---|---|---|
| HTTP | האם כתובת ה-URL להפניה חוזרת של NocoBase משתמשת בפרוטוקול HTTP, ברירת המחדל היא https. | - |
| Port | פורט כתובת ה-URL להפניה חוזרת של NocoBase, ברירת המחדל היא 443/80. | - |
| State token | משמש לאימות מקור הבקשה ולמניעת התקפות CSRF. ניתן לספק ערך קבוע, אך מומלץ בחום להשאירו ריק כדי שייווצר ערך אקראי כברירת מחדל. אם אתם משתמשים בערך קבוע, אנא העריכו בעצמכם את סביבת השימוש וסיכוני האבטחה. | - |
| העברת פרמטרים בהחלפת קוד האישור | בעת החלפת קוד באסימון (token), ייתכן שחלק מספקי ה-IdP ידרשו להעביר Client ID או Client Secret כפרמטרים. ניתן לסמן אפשרות זו ולציין את שמות הפרמטרים המתאימים. | - |
| שיטה לקריאה לנקודת הקצה של פרטי המשתמש | שיטת ה-HTTP המשמשת בעת בקשת ה-API לקבלת פרטי משתמש. | - |
| היכן למקם את אסימון הגישה בעת קריאה לנקודת הקצה של פרטי המשתמש | כיצד מועבר אסימון הגישה (access token) בעת קריאה ל-API של פרטי המשתמש: - Header - בכותרת הבקשה (ברירת מחדל). - Body - בגוף הבקשה, בשימוש עם שיטת POST.- Query parameters - כפרמטרי שאילתה, בשימוש עם שיטת GET. | - |
| דילוג על אימות SSL | דילוג על אימות SSL בעת בקשת ה-API של ה-IdP. אפשרות זו חושפת את המערכת שלכם לסיכוני התקפות Man-in-the-Middle. הפעילו אפשרות זו רק אם אתם מבינים את מטרתה והשלכותיה. מומלץ בחום לא להשתמש בהגדרה זו בסביבות ייצור. | v1.3.40-beta |
שימוש
| הגדרה | תיאור |
|---|---|
| Redirect URL | משמש להגדרת כתובת ה-URL להפניה חוזרת (callback URL) ב-IdP. |
| Post logout redirect URL | כאשר יציאה יזומה על ידי RP מופעלת, משמש להגדרת כתובת ה-URL להפניה חוזרת לאחר יציאה (Post logout redirect URL) ב-IdP. |
בעת בדיקה מקומית, השתמשו ב-127.0.0.1 במקום localhost עבור ה-URL, מכיוון ששיטת התחברות OIDC דורשת כתיבת state לקובץ ה-cookie של הלקוח לצורך אימות אבטחתי. אם בעת ההתחברות חלון ההתחברות מופיע ונעלם במהירות אך ההתחברות לא מצליחה, אנא בדקו ביומני השרת אם קיימות בעיות של אי-התאמת state וודאו שפרמטר ה-state כלול בקובץ ה-cookie של הבקשה. מצב זה מתרחש בדרך כלל כאשר ה-state בקובץ ה-cookie של הלקוח אינו תואם ל-state המועבר בבקשה.
התחברות
עברו לדף ההתחברות ולחצו על הכפתור שמתחת לטופס ההתחברות כדי ליזום התחברות באמצעות צד שלישי.
