Общие настройки OAuth 2.0#
Для задания общих настроек OAuth 2.0, а также для конфигурирования
набора разрешений (scope) перейдите в раздел OAuth 2.0 консоли
управления.
В разделе OAuth 2.0 консоли управления можно посмотреть различные URL обработчиков Blitz Identity Provider, связанных с OAuth 2.0 и OIDC:
URL с метаданнымиBlitz Identity Provider – по этой ссылке размещены динамически обновляемые настройки (метаданные) Blitz Identity Provider (спецификация). Разработчики приложений могут не прописывать все указанные ниже URL в конфигурации своего приложения, а использовать в настойках единую ссылку на эти метаданные;URL для авторизации– адрес обработчика OAuth 2.0 Authorization Endpoint для запросов через браузер на получение кода авторизации;URL для получения и обновления маркера– адрес обработчика OAuth 2.0 Token Endpoint для получения маркеров безопасности (access_token,id_token,refresh_token).
При необходимости можно:
изменить
Время жизни маркера доступа, используемое по умолчанию при выпуске маркеров для всех приложений;указать
Формат маркера доступа, используемый по умолчанию при выпуске маркеров для всех приложений: строка (opaque) или JWT;изменить
Время жизни маркера обновления, используемое по умолчанию при выпуске маркеров для всех приложений;изменить
Время жизни сцепки маркеров обновлений, используемое по умолчанию при выпуске маркеров для всех приложений;изменить
Количество использования маркера обновления, используемое по умолчанию при выпуске маркеров для всех приложений;отметить опцию
Аутентификация систем-клиентов с использованием Proxy TLS. В этом случае должно быть настроено взаимодействие приложений с Blitz Identity Provider через прокси-сервер с установкой двустороннего TSL соединения. В полеCommon Name (CN)сертификата системы должен быть указан домен системы подключаемого приложения.
В разделе Device Authorization Grant можно определить общие настройки для взаимодействия с приложениями по спецификации Device Authorization Grant.
Здесь имеется возможность указать:
время жизни пользовательского кода (в секундах);
минимально разрешенный интервал опроса статуса кода привязки устройства в секундах. Если приложение опрашивает сервис Blitz Identity Provider чаще, чем указано в этом параметре, то будет возвращена ошибка.
Примечание
При необходимости для каждого приложения можно указать свои настройки, связанные со спецификацией Device Authorization Grant.
Для корректной работы взаимодействия с приложениями по протоколу OAuth 2.0 необходимо определить разрешения (scope).
Для этого нужно указать:
название разрешения;
описание разрешения (оно будет отображаться пользователю на странице согласия на предоставление доступа);
атрибуты пользователя, которые будут предоставлены по данному разрешению (атрибуты должны быть определены в меню
Источники данных);Внимание
Для разрешений
blitz_api_sys_users_chg,blitz_api_user_chg,blitz_api_userиblitz_api_sys_usersзадание атрибутов обязательно.допустимые
response type;допустимые
grant type;является ли разрешение системным – такие разрешения предоставляются приложениям только с использованием OAuth 2.0 Client Credentials Flow (не в контексте разрешения отдельного пользователя, а общие).
Внимание
Для корректной работы аутентификации по OpenID Connect 1.0 нужно убедиться, что разрешение с названием openid определено в этом разделе консоли. Также можно прописать атрибуты, передаваемые по этому разрешению. В этом случае указанные данные могут быть получены по маркеру доступа (access token), выданному на разрешение openid.
Важно
Blitz Identity Provider можно настроить таким образом, что будут сохраняться маркеры доступа пользователя от внешних поставщиков идентификации. Если подключенные по OAuth 2.0 приложения будут получать по REST API сохраненные маркеры доступа, в этом разделе консоли необходимо указать системные разрешения fed_tkn_any (все внешние поставщики) и fed_tkn_${fedPointType}_${fedPointName} (внешний поставщик с типом ${fedPointType} и именем ${fedPointName}). Данные разрешения должны также быть указаны в настройках протокола OAuth конкретного приложения.