Единый вход (SSO) Magento Azure AD (Microsoft Entra ID) | Единый вход в Magento с использованием учетных данных Azure AD

Обзор

Интеграция Azure AD Вход в Magento через Microsoft Entra ID (единый вход Azure Active Directory OAuth) с использованием протокола OAuth 2.0. Расширение Magento OAuth / OpenID Connect Single Sign-On (SSO) позволяет пользователям входить в магазин Magento, используя учетные данные Azure AD (единый вход Azure AD). Magento 2 SSO Использование Azure AD в качестве поставщика OAuth. Поддерживаются расширенные функции единого входа (SSO), такие как сопоставление атрибутов профиля пользователя, сопоставление ролей и т. д. В этом руководстве мы рассмотрим, как настроить SSO между Magento и Azure AD (Entra ID). В конце этой статьи пользователи смогут входить в Magento с помощью Azure AD.

Расширение Magento Azure AD Single Sign-On (SSO) от miniOrange позволяет подключить ваш магазин Magento к Microsoft Azure Active Directory для бесперебойной и безопасной аутентификации пользователей. Пользователи могут входить в систему, используя свои существующие учетные данные Azure AD, что исключает необходимость в отдельных именах пользователей или паролях. Расширение Magento Azure AD SSO идеально подходит для предприятий, использующих Azure AD для управления сотрудниками, партнерами или клиентами на различных платформах. Расширение также полностью поддерживает многомагазинные и многосайтовые среды Magento, что делает его масштабируемым для глобального бизнеса. Благодаря быстрой настройке и поддержке корпоративного уровня, решение Magento Azure AD SSO обеспечивает удобный и централизованный процесс входа в систему.

Открыть Чтобы узнать больше о дополнительных возможностях расширения Magento OAuth Single Sign-On (OAuth & OpenID Connect Client), перейдите по ссылке.

Процедура установки

• Использование Композитора
• Ручная установка

• Приобретите miniOrange Magento OAuth Единый вход (SSO) Расширение из Magento Marketplace (Adobe Commerce Marketplace).
• Перейдите в Мой профиль -> Мои покупки
• Пожалуйста, убедитесь, что вы используете правильные ключи доступа (Мой профиль - Ключи доступа).
• Вставьте ключи доступа в файл auth.json вашего проекта.
• Используйте приведенную ниже команду, чтобы добавить расширение в ваш проект.

  "composer require {module_name}:{version}"

• Название модуля и список версий можно увидеть в селекторе под названием модуля расширения.
• Для включения расширения выполните следующие команды в командной строке.

Настройка php bin / magento: обновление

• Скачать miniOrange Magento OAuth Единый вход (SSO) расширение.
• Распакуйте все содержимое архива в папку MiniOrange/IDPSaml.

{Корневой каталог Magento} приложение код МиниАпельсин OAuth

• Выполните следующие команды в командной строке, чтобы включить расширение.

Настройка php bin / magento: обновление

Шаги настройки

1. Настройте расширение miniOrange SSO.

• В расширении miniOrange Magento SSO перейдите на вкладку «Приложение» и выберите... OAuth/Openidи нажмите на Azure AD Приложение.

• Скопируйте URL обратного вызова из расширения. Оно вам понадобится для Azure AD (идентификатор Entra) конфигурации.

2. Настройте Microsoft Entra ID (Azure AD) в качестве поставщика OAuth для входа в Magento Azure AD SSO.

• Войдите в Портал Microsoft Entra ID (Azure AD).
• Выберите Microsoft Entra ID (Azure AD).

• В левой панели навигации нажмите на Регистрация приложений обслуживание и нажмите Новая регистрация.

• Для создания нового приложения в Azure AD (Entra ID) настройте следующие параметры.

• Введите название вашего приложения в поле Имя текстовое поле.
• В поддерживаемых типах учетных записей выберите 3-й вариант. «Учетные записи в любом организационном каталоге (для аутентификации пользователя в рамках пользовательских сценариев)».
• Нажмите на Зарегистрироваться на вебинар на украинском можно Кнопка для создания приложения в Azure AD (введите ID).

• Microsoft Entra ID (Azure AD) присваивает вашему приложению уникальный идентификатор приложения. ID приложения Ваш идентификатор клиента и Идентификатор каталога Ваш Идентификатор арендатораСохраните эти значения, так как они понадобятся вам для настройки расширения miniOrange Magento SSO OAuth Client.

• Перейдите на Сертификаты и секреты в левой панели навигации нажмите на Секрет нового клиента в Azure AD. Введите описание и время истечения срока действия и нажмите кнопку. ДОБАВИТЬ опцию.

• Скопировать секретный ключ "стоимость" Получите это значение из Azure AD и сохраните его под рукой, оно понадобится позже для настройки. Секрет клиента в рамках расширения miniOrange Magento SSO OAuth Client.

В заключение, благодаря успешной настройке Azure AD в качестве поставщика OAuthВы включили вход в Magento через Azure AD SSO и авторизацию для ваших конечных пользователей в Magento.

3. Настройте Magento в качестве клиента OAuth.

• Теперь введите Имя поставщика OAuth, идентификатор клиента, Секрет клиента, Объем и предоставили конечные точки.
• Пожалуйста, обратитесь к Endpoints Приведенная ниже таблица для авторизации Единый вход (SSO) с использованием однопользовательской среды Azure AD на ваш сайт Magento.

Объем:	OpenID
Авторизовать конечную точку:	https://login.microsoftonline.com/<идентификатор арендатора>/oauth2/v2.0/authorize
Конечная точка токена доступа:	https://login.microsoftonline.com/<идентификатор арендатора>/oauth2/v2.0/token
Конечная точка для получения информации о пользователе:	https://login.windows.net/<идентификатор арендатора>/openid/userinfo
Пользовательский URL-адрес перенаправления после выхода из системы:[по желанию]	https://login.microsoftonline.com/<идентификатор арендатора>/oauth2/logout?post_logout_redirect_uri=

• Пожалуйста, обратитесь к Область применения и конечные точки Приведенная ниже таблица для авторизации Единый вход (SSO) в любую среду клиента Azure AD на ваш сайт Magento.

Объем:	OpenID
Авторизовать конечную точку:	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Конечная точка токена доступа:	https://login.microsoftonline.com/common/oauth2/v2.0/token
Конечная точка для получения информации о пользователе:	https://login.windows.net/common/openid/userinfo
Пользовательский URL-адрес перенаправления после выхода из системы:[по желанию]	https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=<your URL>

• Нажмите на Сохранено чтобы сохранить настройки.
• Нажмите на Тестовая конфигурация .

• Вы увидите все значения, возвращаемые вашим Поставщик OAuth (Azure AD) В Magento в виде таблицы. Если вы не видите значений для полей «Имя», «Фамилия», «Электронная почта» или «Имя пользователя», внесите необходимые изменения в настройки вашего OAuth-провайдера, чтобы получить доступ к этой информации.

4. Настройки мультисайтовой конфигурации (*Доступно в корпоративных версиях)

• Найдите свое приложение Azure AD и щелкните Редактировать в Меню действий.

• Нажмите на Конфигурация магазина из левое меню.
• В Конфигурация магазинаВыберите веб-сайт, на котором вы хотите активировать единый вход (SSO), и установите флажок «Включить единый вход для этого сайта».

 Настройки входа

• Отобразить кнопку единого входа на странице авторизации: Отображает кнопку единого входа (SSO) на странице авторизации клиента выбранного веб-сайта.
• Автоматическое создание пользователей: У вас есть возможность автоматически создавать учетные записи клиентов в процессе единого входа (SSO), если они еще не существуют. Включение соответствующего флажка активирует эту функцию.
• Функция автоматического перенаправления: Автоматически перенаправляет пользователей на страницу входа в систему OAuth Provider либо со страницы входа в Magento, либо с любой другой страницы веб-сайта.

• Перейдите на страницу авторизации клиента, и вы увидите кнопку SSO на вашем сайте. Нажмите на кнопку и протестируйте SSO.

• Вы успешно вошли в Magento.

5. Административный SSO

• Включить единый вход для администраторов: Отображает кнопку единого входа (SSO) на странице входа в административную панель.
• Текст кнопки SSO администратора: Задает метку, отображаемую на кнопке единого входа (SSO) на странице входа в административную панель (например, «Вход через Azure AD»).
• Автоматическое создание пользователей-администраторов: Автоматически создает учетную запись администратора в Magento при первом входе пользователя через SSO.
• Автоматическое перенаправление из административной панели: Автоматически перенаправляет администраторов со страницы входа в систему OAuth Provider на страницу входа в систему администратора.
• URL бэкдора: URL-адрес-лазейка позволяет войти в панель администратора, используя стандартные учетные данные администратора, в случае блокировки доступа.

• Перейдите на страницу входа в административную панель, и вы увидите кнопку SSO. Нажмите на эту кнопку, чтобы активировать SSO в качестве администратора.

• После успешного входа в Magento в качестве администратора вы будете перенаправлены на панель управления Magento.

6. Настройки единого входа без графического интерфейса (*Доступно в премиум-версиях)

• Включить для клиентов: Эта опция позволяет активировать Headless SSO для клиентов.
• URL для единого входа клиента: Этот URL-адрес используется для инициирования единого входа (SSO) для клиентов из приложений без графического интерфейса. Добавьте этот URL-адрес SSO в ваше приложение без графического интерфейса.
  • Пример формата:
    https://<your-magento-domain>/mosso/actions/SendSSORequest?relayState={Store_URL}/headless_store_url/{Headless_URL}&app_name=Azure AD
  • {Store_URL}: Введите URL-адрес вашего магазина Magento.
  • {Headless_URL}: Введите URL-адрес вашего приложения без графического интерфейса, куда должен быть отправлен токен клиента.
  • После успешного единого входа (SSO) токен клиента отправляется на URL-адрес без графического интерфейса.
    Например: {Headless_URL}?customer_token=...
• Токен OAuth:Включите эту опцию, чтобы отправлять JWT-токен поставщика OAuth (Azure AD) вместе с токеном клиента.
• Срок действия клиентского токена: Вы можете установить время истечения срока действия клиентского токена (в минутах).
• Добавить URL-адреса внешнего интерфейса в белый список: Здесь вы можете добавить URL-адреса, которым разрешено получать токен клиента. Токен клиента будет отправлен только на те URL-адреса, которые указаны в этом списке.

• Включить для администраторов: Аналогично клиентам, эта опция активирует Headless SSO для администраторов.
• URL для единого входа в административную панель: Этот URL-адрес инициирует единый вход в административную панель из приложений без графического интерфейса.
• Срок действия административного токена: Установите время истечения срока действия (в минутах) для административного токена.
• Добавить URL-адреса внешнего интерфейса в белый список: Административные токены отправляются только на указанные здесь URL-адреса, включенные в белый список. Необходимо убедиться, что все URL-адреса, получающие административный токен, внесены в этот список.

7. Атрибуты / Пользовательское сопоставление (необязательно). *Это функция премиум-класса.

 Сопоставление атрибутов клиента

• Перейдите на сайт Отображение атрибутов Раздел для настройки сопоставления атрибутов клиента.
• Включите Сопоставление атрибутов клиента и флажок Возможность Обновление атрибутов клиента.

• Вы увидите такие поля, как Эл. адрес, Имя и Фамилия в разделе «Сопоставление атрибутов клиента».
• Сопоставьте эти поля, выбрав соответствующие параметры из выпадающего списка.
• Если вам нужно добавить дополнительные атрибуты, нажмите на кнопку. + Добавить атрибуты клиента нажмите кнопку и выберите соответствующий атрибут из падать.

 Сопоставление адресов клиентов

• В Атрибут клиента В разделе включите сопоставление атрибутов адреса и выберите флажок обновить Атрибуты адреса клиента.

• Вы увидите такие поля, как... Адрес / улица, Почтовый Индекс, Город, Областьи другие в соответствии с Сопоставление адресов клиентов.
• Сопоставьте эти поля, выбрав соответствующие параметры из выпадающего списка.
• Если вам необходимо добавить дополнительные атрибуты адреса, нажмите на кнопку. + Добавить атрибуты адреса Нажмите кнопку и выберите соответствующий атрибут из выпадающего списка.

 Сопоставление атрибутов администратора

• В Сопоставление атрибутов администратора раздел, включить Сопоставление атрибутов администратора И выберите флажок обновлять Административный атрибут.

• Вы увидите такие поля, как Эл. адрес, Имя пользователя Имя и Фамилия в разделе «Сопоставление атрибутов администратора».
• Сопоставьте эти поля, выбрав соответствующие параметры из выпадающего списка.
• Если вам нужно добавить дополнительные атрибуты, нажмите на кнопку. + Добавить атрибуты администратора нажмите кнопку и выберите соответствующий атрибут из падать.

8. Сопоставление групп/ролей (необязательно). *Это функция премиум-класса.

• Magento использует концепцию ролей, предназначенную для того, чтобы владелец сайта мог контролировать, что пользователи могут и не могут делать на сайте. Сопоставление ролей помогает назначать определенные роли пользователям определенной группы в вашем OAuth-провайдере.
• Выберите из выпадающего списка атрибут в вашем поставщике идентификации, содержащий информацию о группах/ролях как для администраторов, так и для клиентов.

 Сопоставление групп клиентов

• В настройках сопоставления групп клиентов администратор магазина может определить, какой группе клиентов Magento следует назначить группу на основе информации о группах, полученной от поставщика идентификационных данных (IdP) во время единого входа (SSO).
• Установите флажок «Обновлять группу пользователей на внешнем интерфейсе при SSO», если вы хотите, чтобы Magento обновляла группу пользователей каждый раз, когда пользователь входит в систему через SSO.
• Используйте раскрывающийся список «Группа по умолчанию», чтобы выбрать группы Magento, которые должны быть назначены пользователю, если поставщик идентификации не возвращает информацию о группе или если полученная группа не соответствует ни одному из настроенных сопоставлений.

• Введите значения групп поставщиков идентификации для соответствующих групп клиентов Magento по мере необходимости.
• Пользователям, принадлежащим к определенной группе в системе управления идентификацией, во время единого входа (SSO) будет автоматически назначена соответствующая группа Magento.
• Пример: Если значение группы из поставщика идентификации сопоставлено с общей группой в Magento, то любому пользователю, имеющему эту группу в поставщике идентификации, при едином входе в систему будет назначена общая группа клиентов.

 Сопоставление ролей администратора

• Установите флажок «Обновлять роли администратора при SSO», если вы хотите, чтобы Magento обновляла роли администратора каждый раз, когда пользователь входит в систему через SSO.
• Используйте раскрывающийся список «Группа по умолчанию», чтобы выбрать роль Magento, которая должна быть назначена пользователю, если поставщик идентификации не возвращает информацию о группе или если полученная группа не соответствует ни одному из настроенных сопоставлений.

• Введите значения групп поставщиков идентификации для соответствующих ролей администратора Magento по мере необходимости.
• Пользователям, принадлежащим к определенной группе в системе управления идентификацией, во время единого входа (SSO) будет автоматически назначена соответствующая группа Magento.
• Пример: Если значение группы из поставщика идентификации сопоставлено с общей группой в Magento, то любому пользователю, входящему в эту группу в поставщике идентификации, при едином входе в систему будут назначены роли администратора.

Дополнительные ресурсы

• Решения по обеспечению безопасности Magento
• Что такое единый вход (SSO)?
• Единый вход Azure AD (SSO) | Вход через единый вход Azure (SSO)
• Azure AD — Обзор
• Настройте Azure AD в качестве поставщика удостоверений (IdP) для входа через единый вход (SSO).
• Плагин единого входа (SSO) Magento OAuth.

Контакт

Пожалуйста, свяжитесь с нами по адресу magentosupport@xecurify.comНаша команда поможет вам настроить расширение Magento 2 SSO (OAuth/OIDC). Мы поможем вам выбрать наиболее подходящее решение/план в соответствии с вашими потребностями.