Интеграция Adobe Commerce Okta OAuth с единым входом (SSO).

Обзор

В этом руководстве объясняется, как настроить единый вход (SSO) между Adobe Commerce и Okta с использованием протоколов OAuth 2.0 и OpenID Connect. Интеграция Okta в качестве поставщика идентификационных данных позволяет пользователям безопасно входить в магазин Adobe Commerce, используя свои существующие корпоративные учетные данные. Это устраняет необходимость в отдельных учетных данных и упрощает аутентификацию пользователей. Интеграция поддерживает основные функции единого входа (SSO), такие как сопоставление атрибутов и сопоставление ролей, позволяя администраторам эффективно управлять доступом пользователей и их правами. Она также способствует повышению безопасности, гарантируя, что доступ к магазину имеют только авторизованные пользователи.
К концу этого руководства у вас будет полностью функциональная система единого входа (SSO), позволяющая пользователям беспрепятственно входить в Adobe Commerce, используя свои учетные данные Okta.

Процедура установки

• Использование Композитора
• Ручная установка

• Приобретите miniOrange Adobe Commerce OAuth Единый вход (SSO) Расширение из Adobe Commerce Marketplace.
• Перейдите в Мой профиль -> Мои покупки
• Пожалуйста, убедитесь, что вы используете правильные ключи доступа (Мой профиль - Ключи доступа).
• Вставьте ключи доступа в файл auth.json вашего проекта.
• Используйте приведенную ниже команду, чтобы добавить расширение в ваш проект.

"composer require {module_name}:{version}"

• Название модуля и список версий можно увидеть в селекторе под названием модуля расширения.
• Для включения расширения выполните следующие команды в командной строке.

Настройка php bin / magento: обновление

• Скачать miniOrange Adobe Commerce OAuth Единый вход (SSO) расширение.
• Распакуйте все содержимое архива в папку MiniOrange/IDPSaml.

{Корневой каталог} приложение код МиниАпельсин OAuth

• Выполните следующие команды в командной строке, чтобы включить расширение.

Настройка php bin / magento: обновление

Шаги настройки

1. Настройте расширение miniOrange SSO.

• В расширении miniOrange Adobe Commerce SSO перейдите на вкладку «Приложение» и выберите OAuth/Openidи нажмите на Okta Приложение.

• Скопируйте URL обратного вызова из расширения. Оно вам понадобится для Okta конфигурации.

2. Настройте Okta в качестве поставщика OAuth.

• Прежде всего, перейдите к https://www.okta.com/login и войдите в свою учетную запись Okta.
• Перейдите на сайт Панель администратора Okta. Перейдите в Приложения -> Приложения.

• Вы увидите следующий экран. Нажмите на Создать интеграцию приложений .

• Выберите способ входа в систему в качестве способа авторизации. OIDC - OpenID Connect выберите опцию и тип приложения. веб-приложение, нажмите Следующая .

• Вы будете перенаправлены на страницу с подробностями приложения. Войти Интеграция приложений имя и URI перенаправления при входеВы получите это на вкладке «Поставщик OAuth» в разделе miniOrange Adobe Commerce SSO (OAuth/OIDC). URL перенаправления/обратного вызова поле.

• Прокрутите вниз и вы увидите Задания раздел. Выберите вариант контролируемого доступа и снимите флажок Нажмите на опцию «Включить немедленный доступ в режиме брокера федерации». Кнопку Сохранить.

• Теперь вы получите Учетные данные клиента и домен OktaСкопируйте эти учетные данные в Miniorange Adobe Commerce SSO (OAuth/OIDC) Настройка расширения для соответствующих полей.

2.1 Назначить пользователю интеграцию приложения

• Перейдите на Вкладка «Приложения» и нажмите на свою заявку.

• Выберите Задания меню.

• Нажмите Назначать и Назначить людям.
• Если вы хотите назначить приложение нескольким пользователям одновременно, выберите соответствующий пункт. Назначить группам [Если приложение назначено группе, то оно будет назначено всем участникам этой группы.]

• Нажмите Назначать рядом с именем пользователя.

• Нажмите Сохранить и вернуться назад.

• Нажмите Готово.

2.2 Атрибуты профиля для токена идентификатора

• В панели администратора Okta перейдите в... Безопасность -> API.

• Выберите ваше приложение SSO и нажмите на кнопку. отредактировать значку.

• Перейдите на требования и выберите ID опция токена.

• нажмите Добавить заявку .

• Дать Имя к вашему утверждению/атрибуту и ​​выберите Идентификационный токен Выберите тип токена из выпадающего списка. Теперь введите значение. user.$attribute в Значение поле, исходя из атрибута, который вы хотите получить. Оставьте остальные настройки по умолчанию и нажмите Создавай .

• Выполните аналогичные шаги для всех атрибутов, которые вы хотите просмотреть. В результате вы получите список, похожий на приведенный ниже.

• Вы сможете увидеть атрибуты в Тестовая конфигурация Результат выглядит следующим образом.

Вы успешно выполнили настройку. Okta Adobe Commerce - Единый вход (SSO) Использование Okta в качестве поставщика OAuth позволяет пользователям безопасно входить на ваш сайт Adobe Commerce Okta Login. Вход в Okta полномочия.

3. Настройте Adobe Commerce в качестве клиента OAuth.

• Теперь введите Имя поставщика OAuth, идентификатор клиента, Секрет клиента, Объем и предоставили конечные точки.
• Пожалуйста, обратитесь к Endpoints Приведенная ниже таблица для авторизации Единый вход (SSO) в однопользовательской среде Okta на ваш сайт Adobe Commerce.

Объем:	OpenID
Авторизовать конечную точку:	https://login.microsoftonline.com/<идентификатор арендатора>/oauth2/v2.0/authorize
Конечная точка токена доступа:	https://login.microsoftonline.com/<идентификатор арендатора>/oauth2/v2.0/token
Конечная точка для получения информации о пользователе:	https://login.windows.net/<идентификатор арендатора>/openid/userinfo
Пользовательский URL-адрес перенаправления после выхода из системы:[по желанию]	https://login.microsoftonline.com/<идентификатор арендатора>/oauth2/logout?post_logout_redirect_uri=

• Пожалуйста, обратитесь к Область применения и конечные точки Приведенная ниже таблица для авторизации Единый вход (SSO) в любую среду клиента Okta на ваш сайт Adobe Commerce.

Объем:	OpenID
Авторизовать конечную точку:	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Конечная точка токена доступа:	https://login.microsoftonline.com/common/oauth2/v2.0/token
Конечная точка для получения информации о пользователе:	https://login.windows.net/common/openid/userinfo
Пользовательский URL-адрес перенаправления после выхода из системы:[по желанию]	https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=<your URL>

• Нажмите на Сохранено чтобы сохранить настройки.
• Нажмите на Тестовая конфигурация .

• Вы увидите все значения, возвращаемые вашим Поставщик OAuth (Okta) В Adobe Commerce в виде таблицы. Если вы не видите значений для полей «Имя», «Фамилия», «Электронная почта» или «Имя пользователя», внесите необходимые изменения в настройки вашего OAuth-провайдера, чтобы получить доступ к этой информации.

4. Настройки мультисайтовой конфигурации (*Доступно в корпоративных версиях)

• Найдите свое приложение Okta и нажмите Редактировать в Меню действий.

• Нажмите на Конфигурация магазина из левое меню.
• В Конфигурация магазинаВыберите веб-сайт, на котором вы хотите активировать единый вход (SSO), и установите флажок «Включить единый вход для этого сайта».

• Отобразить кнопку единого входа на странице авторизации: Отображает кнопку единого входа (SSO) на странице авторизации клиента выбранного веб-сайта.
• Автоматическое создание пользователей: У вас есть возможность автоматически создавать учетные записи клиентов в процессе единого входа (SSO), если они еще не существуют. Включение соответствующего флажка активирует эту функцию.
• Функция автоматического перенаправления: Автоматически перенаправляет пользователей на страницу входа в систему OAuth Provider либо со страницы входа в Adobe Commerce, либо с любой другой страницы веб-сайта.

• Перейдите на страницу авторизации клиента, и вы увидите кнопку SSO на вашем сайте. Нажмите на кнопку и протестируйте SSO.

• Вы успешно войдете в систему Adobe Commerce.

5. Административный SSO

• Включить единый вход для администраторов: Отображает кнопку единого входа (SSO) на странице входа в административную панель.
• Текст кнопки SSO администратора: Задает метку, отображаемую на кнопке SSO на странице входа в административную панель (например, «Вход через Okta»).
• Автоматическое создание пользователей-администраторов: Автоматически создает учетную запись администратора в Adobe Commerce при первом входе пользователя через единый вход (SSO).
• Автоматическое перенаправление из административной панели: Автоматически перенаправляет администраторов со страницы входа в систему OAuth Provider на страницу входа в систему администратора.
• URL бэкдора: URL-адрес-лазейка позволяет войти в панель администратора, используя стандартные учетные данные администратора, в случае блокировки доступа.

• Перейдите на страницу входа в административную панель, и вы увидите кнопку SSO. Нажмите на эту кнопку, чтобы активировать SSO в качестве администратора.

• После успешного входа в Adobe Commerce в качестве администратора вы будете перенаправлены на панель управления Adobe Commerce.

6. Настройки единого входа без графического интерфейса *Это функция премиум-класса.

• Включить для клиентов: Эта опция позволяет активировать Headless SSO для клиентов.
• URL для единого входа клиента: Этот URL-адрес используется для инициирования единого входа (SSO) для клиентов из приложений без графического интерфейса. Добавьте этот URL-адрес SSO в ваше приложение без графического интерфейса.
  • Пример формата: https://<your-domain>/mosso/actions/SendSSORequest?relayState={Store_URL}/headless_store_url/{Headless_URL}&app_name=Okta AD
  • {Store_URL}: Введите URL-адрес вашего магазина Adobe Commerce.
  • {Headless_URL}: Введите URL-адрес вашего приложения без графического интерфейса, куда должен быть отправлен токен клиента.
  • После успешного единого входа (SSO) токен клиента отправляется на URL-адрес без графического интерфейса.
    Например: {Headless_URL}?customer_token=...
• Токен OAuth:Включите эту опцию, чтобы отправлять JWT-токен поставщика OAuth (Okta) вместе с токеном клиента.
• Срок действия клиентского токена: Вы можете установить время истечения срока действия клиентского токена (в минутах).
• Добавить URL-адреса внешнего интерфейса в белый список: Здесь вы можете добавить URL-адреса, которым разрешено получать токен клиента. Токен клиента будет отправлен только на те URL-адреса, которые указаны в этом списке.

• Включить для администраторов: Аналогично клиентам, эта опция активирует Headless SSO для администраторов.
• URL для единого входа в административную панель: Этот URL-адрес инициирует единый вход в административную панель из приложений без графического интерфейса.
• Срок действия административного токена: Установите время истечения срока действия (в минутах) для административного токена.
• Добавить URL-адреса внешнего интерфейса в белый список: Административные токены отправляются только на указанные здесь URL-адреса, включенные в белый список. Необходимо убедиться, что все URL-адреса, получающие административный токен, внесены в этот список.

7. Атрибуты / Пользовательское сопоставление (необязательно). *Это функция премиум-класса.

• Перейдите на сайт Отображение атрибутов Раздел для настройки сопоставления атрибутов клиента.
• Включите Сопоставление атрибутов клиента и флажок Возможность Обновление атрибутов клиента.

• Вы увидите такие поля, как Эл. адрес, Имя и Фамилия в разделе «Сопоставление атрибутов клиента».
• Сопоставьте эти поля, выбрав соответствующие параметры из выпадающего списка.
• Если вам нужно добавить дополнительные атрибуты, нажмите на кнопку. + Добавить атрибуты клиента нажмите кнопку и выберите соответствующий атрибут из падать.

• В Атрибут клиента В разделе включите сопоставление атрибутов адреса и выберите флажок обновить Атрибуты адреса клиента.

• Вы увидите такие поля, как... Адрес / улица, Почтовый Индекс, Город, Областьи другие в соответствии с Сопоставление адресов клиентов.
• Сопоставьте эти поля, выбрав соответствующие параметры из выпадающего списка.
• Если вам необходимо добавить дополнительные атрибуты адреса, нажмите на кнопку. + Добавить атрибуты адреса Нажмите кнопку и выберите соответствующий атрибут из выпадающего списка.

• В Сопоставление атрибутов администратора раздел, включить Сопоставление атрибутов администратора И выберите флажок обновлять Административный атрибут.

• Вы увидите такие поля, как Эл. адрес, Имя пользователя Имя и Фамилия в разделе «Сопоставление атрибутов администратора».
• Сопоставьте эти поля, выбрав соответствующие параметры из выпадающего списка.
• Если вам нужно добавить дополнительные атрибуты, нажмите на кнопку. + Добавить атрибуты администратора нажмите кнопку и выберите соответствующий атрибут из падать.

• В B2B-картирование В разделе включите сопоставление компаний B2B и выберите флажок обновлять Атрибут компании B2B.

• Атрибут компании: Это поле от вашего поставщика идентификационных данных (IdP), содержащее название компании или идентификатор пользователя.
• Компания по умолчанию: Если в данных поставщика идентификации (IdP) не найдена соответствующая компания, пользователь будет назначен в эту компанию по умолчанию.
• При необходимости введите значения компании-поставщика идентификационных данных для соответствующей компании-клиента Adobe Commerce.
• Пример: Если значение атрибута компании, полученное от поставщика идентификации, сопоставлено с miniOrange или newCompany в Adobe Commerce, то пользователи, входящие в систему через SSO, будут автоматически назначены соответствующей компании. Например, если значение атрибута компании от поставщика идентификации сопоставлено с компанией miniOrange в Adobe Commerce, то пользователь будет назначен компании miniOrange.

8. Сопоставление групп/ролей (необязательно). *Это функция премиум-класса.

• Adobe Commerce использует концепцию ролей, разработанную для того, чтобы владелец сайта мог контролировать, что пользователи могут и не могут делать на сайте. Сопоставление ролей помогает назначать определенные роли пользователям определенной группы в вашем поставщике OAuth.
• Выберите из выпадающего списка атрибут в вашем поставщике идентификации, содержащий информацию о группах/ролях как для администраторов, так и для клиентов.

• В настройках сопоставления групп клиентов администратор магазина может определить, какая группа клиентов Adobe Commerce должна быть назначена на основе информации о группах, полученной от поставщика идентификации (IdP) во время единого входа (SSO).
• Установите флажок «Обновлять группу пользователей на внешнем интерфейсе при едином входе», если вы хотите, чтобы Adobe Commerce обновлял группу пользователей каждый раз, когда пользователь входит в систему через единый вход.
• Используйте раскрывающийся список «Группа по умолчанию», чтобы выбрать группы Adobe Commerce, которые должны быть назначены пользователю, если поставщик идентификации не возвращает информацию о группе или если полученная группа не соответствует ни одному из настроенных сопоставлений.

• При необходимости введите значения групп поставщиков идентификации для соответствующих групп клиентов Adobe Commerce.
• Пользователям, принадлежащим к определенной группе в поставщике идентификационных данных, во время единого входа (SSO) будет автоматически назначена соответствующая группа Adobe Commerce.
• Пример: Если значение группы из поставщика идентификации сопоставлено с группой «Общие» в Adobe Commerce, то любому пользователю, имеющему эту группу в поставщике идентификации, при едином входе в систему будет назначена группа «Общие клиенты».

• Установите флажок «Обновлять роли администратора при едином входе», если вы хотите, чтобы Adobe Commerce обновлял роли администратора каждый раз, когда пользователь входит в систему через единый вход.
• Используйте раскрывающийся список «Группа по умолчанию», чтобы выбрать роль Adobe Commerce, которая должна быть назначена пользователю, если поставщик идентификации не возвращает информацию о группе или если полученная группа не соответствует ни одному из настроенных сопоставлений.

• Введите значения группы поставщиков идентификации для соответствующих ролей администратора Adobe Commerce по мере необходимости.
• Пользователям, принадлежащим к определенной группе в поставщике идентификационных данных, во время единого входа (SSO) будет автоматически назначена соответствующая группа Adobe Commerce.
• Пример: Если значение группы из поставщика идентификации сопоставлено с группой «Общие» в Adobe Commerce, то любому пользователю, входящему в эту группу в поставщике идентификации, при едином входе будут назначены роли администратора.

Дополнительные ресурсы

• Решения Adobe для обеспечения безопасности электронной коммерции
• Что такое единый вход (SSO)?
• Единый вход Azure AD (SSO) | Вход через единый вход Azure (SSO)
• Плагин единого входа (SSO) Magento OAuth.

Контакт

Пожалуйста, свяжитесь с нами по адресу magentosupport@xecurify.comНаша команда поможет вам настроить расширение Adobe Commerce SSO (OAuth/OIDC). Мы поможем вам выбрать наиболее подходящее решение/план в соответствии с вашими потребностями.