Anleitung zur generischen OIDC 2.0-Föderation
Richten Sie die OpenID Connect (OIDC)-Föderation mit dem STACKIT IdP ein. Der STACKIT IdP fungiert als Relying Party (RP) und das System Ihrer Organisation als Identity Provider (IdP).
Schritt 0: Erstellen Sie eine Anwendung auf Ihrem IdP
Abschnitt betitelt „Schritt 0: Erstellen Sie eine Anwendung auf Ihrem IdP“Um diese Föderation mit Ihrem generischen OIDC-Provider zu konfigurieren, führen Sie die folgenden Schritte aus.
- Anwendung erstellen: Sie müssen die Anwendung auf Ihrem externen Identity Provider erstellen, um die Zugangsdaten zu erhalten, die für die Konfiguration der Föderation erforderlich sind. Verwenden Sie beim Erstellen des Clients die folgende Adresse als Weiterleitungs-URL:
https://accounts.stackit.cloud/ui/login/login/externalidp/callback
- Token-Claims: Konfigurieren Sie in der “Token-Konfiguration” das Token mit den folgenden Claims:
- Token-Typ: ID
- Geprüfte Claims:
- family_name
- given_name
- preferred_username
Schritt 1: Erstellen Sie ein Support-Ticket
Abschnitt betitelt „Schritt 1: Erstellen Sie ein Support-Ticket“Erstellen Sie ein Support-Ticket mit den folgenden Informationen:
Allgemeine Informationen
- Föderationstyp: OpenID Connect (OIDC)
- Grund für die Integration: Kurze Erklärung (zum Beispiel: “SSO für Unternehmensbenutzer aktivieren”)
- E-Mail-Domains: Alle E-Mail-Domains, die Ihre Mitarbeiter für die Anmeldung verwenden (zum Beispiel:
@example.orgund@foobar.com)
OIDC-spezifische Informationen
| Pflichtfeld | Beschreibung | Beispiel-Eingabe |
|---|---|---|
| Issuer | Issuer-Identifikator-URL für Ihren OIDC-Provider | https://idp.example.com/ |
| Client ID | ID, die unserer Anwendung von Ihrem IdP in Schritt 0 zugewiesen wurde | 8012345a-b67c-890d-ef12-3456789012 |
| Client secret | Geheimer Schlüssel, der Client ID zugeordnet ist | Sicher angeben |
| Scopes | Erforderliche Berechtigungen (mindestens openid erforderlich) | openid profile email |
| Anzeigename (optional) | Interner Name für diese Föderation (verwenden Sie snake_case) | acme_corp_oidc |
Claims-Mapping
Sie können festlegen, wie Claims (Attribute) von Ihrem OIDC-Provider unseren Benutzerfeldern zugeordnet werden:
| STACKIT IdP-Feld | Ihr OIDC-Claim-Name | Hinweise |
|---|---|---|
| Eindeutige Benutzer-ID | zum Beispiel: sub, oid | Claim, der als eindeutiger Identifikator verwendet wird |
| E-Mail-Adresse | zum Beispiel: email | Claim, der die primäre E-Mail des Benutzers enthält |
| Bevorzugter Name | zum Beispiel: name, preferred_username | Claim, der den Anzeigenamen des Benutzers enthält |
| Vorname | zum Beispiel: given_name | Optional, aber empfohlen |
| Nachname | zum Beispiel: family_name | Optional, aber empfohlen |
Schritt 2: Verifizierung
Abschnitt betitelt „Schritt 2: Verifizierung“Bestätigen Sie, dass die Föderation funktioniert, und melden Sie die Ergebnisse oder eventuelle Probleme.
Wechsel von SAML zu OIDC
Abschnitt betitelt „Wechsel von SAML zu OIDC“Wenn Sie eine bestehende SAML-Föderation haben und zu OIDC wechseln, ist der Übergang nahtlos. Solange die E-Mail-Adressen gleich bleiben, verlieren Benutzer weder den Zugriff noch Daten. Benutzerkonten sind an E-Mail-Adressen gebunden, nicht an Föderationsmethoden.