Prestashop es un sistema de creación de tiendas en línea que permite a los usuarios crear sus propias plataformas de comercio electrónico para crear y vender sus propios productos. Viene integrado con varias funciones llamadas módulos que incluyen un sistema de pago y pago sencillo integrado con PayPalTM, Facebook e integraciones de redes sociales para construir su comunidad alrededor de su tienda, y administración para simplificar la gestión diaria de su tienda.

PingIdentity es un proveedor global de gestión de acceso e identidad que permite que varios programas manejen y administren la autenticación y autorización de usuarios. Aprovecha el uso de protocolos de autenticación y autorización populares como SAML 2.0 y OAuth 2.0, que facilitan de forma segura el inicio de sesión único (SSO) entre dos entidades compatibles. PingIdentity también se puede utilizar para crear otras plataformas de identidad para varios grupos empresariales, como gestión de empleados, gestión de salud para empleados, etc. Al facilitar el SSO utilizando uno de sus protocolos SSO, permite el acceso cruzado entre sí mismo y las aplicaciones creadas en él con otros. aplicaciones/sitios web de terceros.

Guión

Tiene un portal de empleados basado en PingIdentity y una tienda Prestashop a la que los empleados pueden acceder después de una autorización exitosa desde el portal de gestión de empleados. Para facilitar este proceso de autorización, desea que los empleados realicen SSO en Prestashop utilizando el protocolo OAuth. Sin embargo, de forma predeterminada, el flujo de concesión del código de autorización permite a los usuarios comprador secreto para ser enviado visiblemente en la URL de solicitud. Entonces, para incorporar una forma más segura de hacer esto, desea que el SSO funcione utilizando el flujo de concesión de código de autorización PKCE (Clave de prueba para intercambio de código), lo que evita que el secreto del cliente se envíe en la URL de solicitud.

Requisitos

PingIdentity se utiliza para crear el portal de empleados donde existen todas las credenciales y detalles de los empleados, aquí es donde a todos los usuarios se les otorgará acceso autorizado.

Prestashop está instalado y configurado como un proveedor de servicios donde sólo los usuarios autorizados podrán acceder a la tienda.

Componentes involucrados

• Cliente OAuth: PingIdentity sobre el cual se construye todo el portal de empleados, todas las identidades de los usuarios provienen de aquí.
• Servidor OAuth: Prestashop, donde los usuarios autorizados accederán al servicio, aquí se instalará el complemento Prestashop como cliente OAuth.

Para obtener el complemento contacta con nosotros. AQUÍ

Diagrama de flujo

Solución

1. Flujo de subvenciones de PKCE

• PKCE significa Clave de prueba para intercambio de códigos. Es un flujo de concesión basado en la concesión del código de autorización, que se utiliza mejor para habilitar OAuth SSO en clientes públicos.
• PKCE funciona haciendo que el cliente/aplicación genere un valor aleatorio al comienzo del flujo llamado Verificador de código, y luego lo aplica mediante hash para crear lo que se llama Desafío de código.
• Este Code Challenge, que se utiliza en lugar de un secreto de cliente fijo en un flujo de OAuth tradicional, luego se incluye en la cadena de consulta para la solicitud al servidor de autorización donde se almacena el valor hash para su posterior verificación y, después de que el usuario se autentica, redirige. Regrese a la aplicación con un código de autorización.
• La aplicación realiza la solicitud de intercambio del código por tokens, solo que envía el Verificador de Código en lugar de un secreto fijo. Ahora el servidor de autorización puede aplicar hash al verificador de código y compararlo con el valor hash que almacenó anteriormente.
• Suponiendo que el valor hash coincida, el servidor de autorización devolverá los tokens.

2. Uso de PKCE para el SSO

• Tomando como referencia el flujo PKCE descrito anteriormente, cuando un empleado intenta acceder a la tienda Prestashop, el usuario será redirigido a Prestashop como Cliente OAuth, lo que generará un desafío de código utilizando un método aleatorio generado criptográficamente verificador de código.
• Luego, el complemento redirigirá al usuario a través del solicitud de código de autorización al portal del empleado junto con el código de desafío que solicita al usuario que inicie sesión aquí. El portal del empleado almacenar el desafío del código aquí para su posterior verificación.
• En el flujo de concesión del código de autorización de OAuth tradicional, la solicitud del código de autorización (o la URL de solicitud) contendrá el secreto del cliente, pero con el flujo PKCE, esto El secreto del cliente será reemplazado por el desafío del código. haciendo así la transacción mucho más segura.
• Una vez que el usuario se autentica exitosamente aquí, el portal del empleado lo redirige al complemento junto con el Código de autorización. Este Código de Autorización será válido para su uso en una sola transacción.
• Luego, el complemento enviará el verificador de código generado previamente y el código de autorización al portal del empleado donde se validará el desafío del código previamente almacenado y el verificador de código.
• Después de la validación, si los valores del verificador de código y el desafío del código coinciden, el portal del empleado enviará el ficha de identificación y lo necesario Token de acceso Volver al complemento que puede solicitar los datos de acceso del usuario.
• Luego, el complemento responde con los datos solicitados y el usuario puede acceder a la tienda Prestashop.

Recursos adicionales

• Iniciar sesión en Prestashop
• Inicio de sesión SSO de Prestashop OAuth
• Inicio de sesión SSO SAML de Prestashop
• Preguntas frecuentes (FAQ)