Prestashop は、ユーザーが独自の商品を作成および販売するための独自の e コマース プラットフォームを構築できるオンライン ストア構築システムです。 これには、PayPalTM、Facebook、店舗周辺のコミュニティを構築するためのソーシャル ネットワーク統合と統合された簡単なチェックアウトおよび支払いシステム、店舗の日常管理を簡素化するための管理など、モジュールと呼ばれるいくつかの機能が組み込まれています。

PingIdentity は、さまざまなソフトウェアがユーザー認証とユーザー認可を処理および管理できるようにするグローバル ID およびアクセス管理プロバイダーです。 SAML 2.0 や OAuth 2.0 などの一般的な認証および認可プロトコルの使用を活用し、準拠する XNUMX つのエンティティ間のシングル サインオン (SSO) を安全に促進します。 PingIdentity は、従業員管理、従業員の健康管理など、さまざまな企業グループ向けの他の ID プラットフォームを構築するためにも使用できます。SSO プロトコルの XNUMX つを使用して SSO を容易にすることで、PingIdentity 自体と、その上に構築された他のアプリケーションとの間の相互アクセスが可能になります。サードパーティのアプリケーション/Webサイト。

<span class="notranslate">シナリオ</span>

PingIdentity 上に構築された従業員ポータルと、従業員が従業員管理ポータルからの承認に成功した後にアクセスできる Prestashop ストアがあります。 この認証プロセスを容易にするために、従業員が OAuth プロトコルを使用して Prestashop に SSO できるようにする必要があります。 ただし、デフォルトでは、認証コード付与フローによりユーザーは クライアントシークレット リクエスト URL で視覚的に送信されます。 したがって、これをより安全に行う方法を組み込むには、代わりに認証コード許可 PKCE (コード交換用の証明キー) フローを使用して SSO が機能するようにし、クライアント シークレットがリクエスト URL で送信されないようにする必要があります。

要件

PingIdentity は、すべての従業員の資格情報と詳細が存在する従業員ポータルを構築するために使用されます。ここで、すべてのユーザーに認証アクセスが許可されます。

Prestashop は、承認されたユーザーのみがストアにアクセスできるサービス プロバイダーとしてセットアップおよび構成されます。

関連するコンポーネント

• OAuth クライアント: すべての従業員ポータルが構築される PingIdentity、すべてのユーザー ID はここから取得されます。
• OAuthサーバー: 認可されたユーザーがサービスにアクセスする Prestashop OAuth クライアント プラグインとして Prestashop がここにインストールされます。

プラグインを入手するには、お問い合わせください こちら

流れ図

ソリューション

1. PKCE 許可フロー

• PKCE は、Proof Key for Code Exchange の略です。 これは認可コードグラントに基づいて構築されたグラントフローであり、パブリッククライアントでOAuth SSOを有効にするのに最適です。
• PKCE は、クライアント/アプリにコード検証器と呼ばれるフローの開始時にランダムな値を生成させ、後でそれをハッシュして、コード チャレンジと呼ばれるものを作成することで機能します。
• このコード チャレンジは、従来の OAuth フローで固定クライアント シークレットの代わりに使用され、認可サーバーへのリクエストのクエリ文字列に含まれます。認可サーバーでは、ハッシュ値が後の検証のために保存され、ユーザーの認証後にリダイレクトされます。認証コードを使用してアプリに戻ります。
• アプリはコードをトークンに交換するリクエストを行い、固定シークレットの代わりにコード検証ツールを送信するだけです。 これで、認可サーバーはコードベリファイアをハッシュし、以前に保存したハッシュ値と比較できるようになりました。
• ハッシュ値が一致すると仮定すると、認可サーバーはトークンを返します。

2. SSO に PKCE を使用する

• 上記の PKCE フローを参照すると、従業員が Prestashop ストアにアクセスしようとすると、ユーザーは OAuth クライアントとして Prestashop にリダイレクトされ、 コードチャレンジ 暗号的に生成されたランダムを使用する コードベリファイア.
• プラグインは、ユーザーを経由してリダイレクトします。 認証コードのリクエスト ユーザーにここでログインするよう促すコード チャレンジとともに、従業員ポータルに送信します。 従業員ポータルは、 コードチャレンジを保存する 後で確認するためにここにあります。
• 従来の OAuth 認証コード付与フローでは、認証コード リクエスト (またはリクエスト URL) にクライアント シークレットが含まれますが、PKCE フローでは、これが クライアント シークレットはコード チャレンジに置き換えられます したがって、トランザクションはより安全になります。
• ここでユーザーが正常に認証されると、従業員ポータルはユーザーを認証コードとともにプラグインにリダイレクトします。 これ 認証コード XNUMX回の取引に限り有効となります。
• 次に、プラグインは、以前に生成されたコード ベリファイアと認証コードを従業員ポータルに送信し、そこで以前に保存されたコード チャレンジとコード ベリファイアが検証されます。
• 検証後、コード検証ツールの値とコード チャレンジの値が一致する場合、従業員ポータルは IDトークン そして必要な アクセストークン ユーザーのアクセス データを要求できるプラグインに戻ります。
• その後、プラグインは要求されたデータで応答し、ユーザーは Prestashop ストアにアクセスできるようになります。

その他のリソース

• プレスタショップにログイン
• Prestashop OAuth SSO ログイン
• Prestashop SAML SSO ログイン
• よくある質問 (FAQ)