Prestashop ist ein System zum Aufbau von Online-Shops, mit dem Benutzer ihre eigenen E-Commerce-Plattformen für die Erstellung und den Verkauf ihrer eigenen Produkte erstellen können. Es verfügt über mehrere integrierte Funktionen, sogenannte Module, darunter ein einfaches Checkout- und Zahlungssystem mit Integration in PayPalTM, Facebook und soziale Netzwerke zum Aufbau Ihrer Community rund um Ihr Geschäft sowie eine Verwaltung zur Vereinfachung der täglichen Verwaltung Ihres Geschäfts.

PingIdentity ist ein globaler Anbieter für Identitäts- und Zugriffsmanagement, der es verschiedener Software ermöglicht, Benutzerauthentifizierung und Benutzerautorisierung zu verwalten und zu verwalten. Es nutzt die Verwendung gängiger Authentifizierungs- und Autorisierungsprotokolle wie SAML 2.0 und OAuth 2.0, die Single Sign-On (SSO) zwischen zwei konformen Einheiten sicher ermöglichen. PingIdentity kann auch verwendet werden, um mehrere andere Identitätsplattformen für verschiedene Unternehmensgruppen zu erstellen, z. B. Mitarbeiterverwaltung, Gesundheitsmanagement für Mitarbeiter usw. Durch die Erleichterung von SSO mithilfe eines seiner SSO-Protokolle ermöglicht es den Querzugriff zwischen sich selbst und darauf basierenden Anwendungen mit anderen Anwendungen/Websites von Drittanbietern.

Szenario

Sie verfügen über ein Mitarbeiterportal, das auf PingIdentity aufbaut, und einen Prestashop-Store, auf den die Mitarbeiter nach erfolgreicher Autorisierung aus dem Mitarbeiterverwaltungsportal zugreifen können. Um diesen Autorisierungsprozess zu erleichtern, möchten Sie, dass sich die Mitarbeiter über das OAuth-Protokoll per SSO bei Prestashop anmelden. Standardmäßig erlaubt der Autorisierungscode-Gewährungsfluss den Benutzern jedoch dies Geheimnis Shopper sichtbar in der Anfrage-URL gesendet werden. Um dies sicherer zu machen, soll das SSO stattdessen mit dem Autorisierungscode-Grant-PKCE-Flow (Proof Key for Code Exchange) funktionieren, der verhindert, dass das Client-Geheimnis in der Anforderungs-URL gesendet wird.

Voraussetzungen:

PingIdentity wird verwendet, um das Mitarbeiterportal zu erstellen, in dem alle Anmeldeinformationen und Details der Mitarbeiter vorhanden sind. Hier wird allen Benutzern Autorisierungszugriff gewährt.

Prestashop ist als Dienstanbieter eingerichtet und konfiguriert, bei dem nur autorisierte Benutzer auf den Shop zugreifen können.

Beteiligte Komponenten

• OAuth-Client: PingIdentity, auf der das gesamte Mitarbeiterportal aufbaut, alle Benutzeridentitäten stammen von hier.
• OAuth-Server: Prestashop, wo autorisierte Benutzer auf den Dienst zugreifen. Das Prestashop-Plugin als OAuth-Client wird hier installiert.

Um das Plugin zu erhalten, kontaktieren Sie uns KLICKEN SIE HIER

Flussdiagramm

Lösung

1. PKCE-Zuschussfluss

• PKCE steht für Proof Key for Code Exchange. Es handelt sich um einen Grant-Flow, der auf der Autorisierungscode-Grant basiert und am besten zum Aktivieren von OAuth SSO in öffentlichen Clients verwendet wird.
• PKCE funktioniert, indem der Client/die App zu Beginn des Flusses einen Zufallswert namens Code Verifier generiert und diesen später hasht, um die sogenannte Code Challenge zu erstellen.
• Diese Code-Challenge, die anstelle eines festen Client-Geheimnisses in einem herkömmlichen OAuth-Ablauf verwendet wird, wird dann in die Abfragezeichenfolge für die Anfrage an den Autorisierungsserver aufgenommen, wo der Hash-Wert zur späteren Überprüfung gespeichert und nach der Authentifizierung des Benutzers weitergeleitet wird Zurück zur App mit einem Autorisierungscode.
• Die App stellt die Aufforderung zum Austausch des Codes gegen Tokens, sendet jedoch statt eines festen Geheimnisses den Code Verifier. Jetzt kann der Autorisierungsserver den Code-Verifizierer hashen und ihn mit dem zuvor gespeicherten Hash-Wert vergleichen.
• Unter der Annahme, dass der Hash-Wert übereinstimmt, gibt der Autorisierungsserver die Token zurück.

2. Verwendung von PKCE für SSO

• Unter Bezugnahme auf den oben beschriebenen PKCE-Ablauf wird der Benutzer, wenn ein Mitarbeiter versucht, auf den Prestashop-Shop zuzugreifen, als OAuth-Client zum Prestashop weitergeleitet, der eine generiert Code-Herausforderung unter Verwendung eines kryptografisch generierten Zufalls Code-Verifizierer.
• Das Plugin leitet den Benutzer dann über weiter Anforderung eines Autorisierungscodes zum Mitarbeiterportal zusammen mit der Code-Challenge, die den Benutzer auffordert, sich hier anzumelden. Das Mitarbeiterportal wird Speichern Sie die Code-Challenge hier zur späteren Überprüfung.
• Im herkömmlichen OAuth-Autorisierungscode-Gewährungsfluss enthält die Autorisierungscode-Anfrage (oder die Anfrage-URL) das Client-Geheimnis, beim PKCE-Fluss jedoch dieses Das Client-Geheimnis wird durch die Code-Challenge ersetzt Dadurch wird die Transaktion wesentlich sicherer.
• Sobald der Benutzer hier erfolgreich authentifiziert wurde, leitet das Mitarbeiterportal den Benutzer zusammen mit dem Autorisierungscode zurück zum Plugin weiter. Das Autorisierungscode ist nur für eine Transaktion gültig.
• Das Plugin sendet dann den zuvor generierten Code-Verifizierer und den Autorisierungscode an das Mitarbeiterportal, wo die zuvor gespeicherte Code-Challenge und der Code-Verifizierer validiert werden.
• Wenn nach der Validierung die Werte des Code-Verifizierers und der Code-Challenge übereinstimmen, sendet das Mitarbeiterportal das ID-Token und das Notwendige Zugangstoken zurück zum Plugin, das die Zugangsdaten des Benutzers abfragen kann.
• Das Plugin antwortet dann mit den angeforderten Daten und der Benutzer kann auf den Prestashop-Shop zugreifen.

Weitere Informationen

• Melden Sie sich bei Prestashop an
• Prestashop OAuth SSO-Anmeldung
• Prestashop SAML SSO-Anmeldung
• Häufig gestellte Fragen (FAQs)