Prestashop är ett onlinebutiksbyggande system som låter användare bygga sina egna e-handelsplattformar för att skapa och sälja sina egna produkter. Den kommer inbyggd med flera funktioner som kallas moduler som inkluderar enkelt kassa- och betalningssystem integrerat med PayPalTM, Facebook och sociala nätverksintegrationer för att bygga upp din community runt din butik och administration för att förenkla den dagliga hanteringen av din butik.

PingIdentity är en global leverantör av identitets- och åtkomsthantering som gör det möjligt för olika programvaror att hantera och hantera användarautentisering och användarauktorisering. Det utnyttjar användningen av populära autentiserings- och auktoriseringsprotokoll som SAML 2.0 och OAuth 2.0 som säkert underlättar enkel inloggning (SSO) mellan två kompatibla enheter. PingIdentity kan också användas för att bygga flera andra identitetsplattformar för olika företagsgrupper såsom personalhantering, hälsohantering för anställda, etc. Genom att underlätta SSO med hjälp av ett av dess SSO-protokoll möjliggör den korsåtkomst mellan sig själv och applikationer som byggts på den med andra tredjepartsapplikationer/webbplatser.

Scenario

Du har en medarbetarportal som är byggd på PingIdentity och en Prestashop-butik som de anställda kan komma åt efter framgångsrik auktorisering från medarbetarhanteringsportalen. För att underlätta denna auktoriseringsprocess vill du att de anställda ska SSO till Prestashop med OAuth-protokollet. Men som standard tillåter flödet för beviljande av auktoriseringskod användarna hemliga shopper skickas synligt i förfrågans URL. Så för att införliva ett säkrare sätt att göra detta, vill du att SSO ska fungera med hjälp av flödet för auktoriseringskod bevilja PKCE (Proof Key for Code Exchange) istället, vilket förhindrar klienthemligheten från att skickas i förfrågans URL.

Krav

PingIdentity används för att bygga medarbetarportalen där alla anställdas autentiseringsuppgifter och detaljer finns, det är här alla användare kommer att ges behörighetsåtkomst.

Prestashop är konfigurerad och konfigurerad som en tjänsteleverantör där endast auktoriserade användare kommer att kunna komma åt butiken.

Komponenter inblandade

• OAuth-klient: PingIdentity som alla anställdas portaler är byggda på alla användaridentiteter kommer härifrån.
• OAuth-server: Prestashop där tjänsten kommer att nås av auktoriserade användare. Plugin-programmet Prestashop som OAuth Client kommer att installeras här.

För att få plugin kontaktar du oss HÄR

Flödesdiagram

Lösning

1. PKCE-bidragsflöde

• PKCE står för Proof Key for Code Exchange. Det är ett bidragsflöde som bygger på auktoriseringskoden, som bäst används för att aktivera OAuth SSO hos offentliga klienter.
• PKCE fungerar genom att låta klienten/appen generera ett slumpmässigt värde i början av flödet som kallas en Code Verifier, och hasha det senare, för att skapa det som kallas Code Challenge.
• Denna kodutmaning, som används istället för en fast klienthemlighet i ett traditionellt OAuth-flöde, ingår sedan i frågesträngen för begäran till auktoriseringsservern där det hashade värdet lagras för senare verifiering och, efter att användaren autentiserat, omdirigerar tillbaka till appen med en auktoriseringskod.
• Appen gör begäran om att byta ut koden mot tokens, bara den skickar kodverifieraren istället för en fast hemlighet. Nu kan auktoriseringsservern hasha kodverifieraren och jämföra den med det hashade värdet som den lagrade tidigare.
• Förutsatt att det hashade värdet matchar, kommer auktoriseringsservern att returnera tokens.

2. Använda PKCE för SSO

• Med hänvisning till PKCE-flödet som beskrivs ovan, när en anställd försöker komma åt Prestashop-butiken, kommer användaren att omdirigeras till Prestashop som OAuth-klient som kommer att generera en kod utmaning med hjälp av en kryptografiskt genererad slumpmässig kodverifierare.
• Insticksprogrammet omdirigerar sedan användaren via begäran om behörighetskod till medarbetarportalen tillsammans med kodutmaningen som uppmanar användaren att logga in här. Medarbetarportalen kommer lagra kodutmaningen här för senare verifiering.
• I det traditionella flödet för beviljande av OAuth-auktoriseringskod kommer auktoriseringskodsbegäran (eller webbadressen för begäran) att innehålla klienthemligheten, men med PKCE-flödet är detta klienthemlighet kommer att ersättas med kodutmaningen vilket gör transaktionen mycket säkrare.
• När användaren har autentiserats här, omdirigerar medarbetarportalen användaren tillbaka till plugin-programmet tillsammans med auktoriseringskoden. Detta Behörighetskod kommer att vara giltig för användning för endast en transaktion.
• Insticksprogrammet kommer sedan att skicka över den tidigare genererade kodverifieraren och auktoriseringskoden till medarbetarportalen där den tidigare lagrade kodutmaningen och kodverifieraren kommer att valideras.
• Efter validering, om värdena för kodverifieraren och kodutmaningen matchar, skickar medarbetarportalen ID-token och det nödvändiga access token tillbaka till plugin som kan begära användarens åtkomstdata.
• Pluginet svarar sedan med den begärda informationen och användaren kan komma åt Prestashop-butiken.

Ytterligare resurser

• Logga in på Prestashop
• Prestashop OAuth SSO-inloggning
• Prestashop SAML SSO-inloggning
• Vanliga frågor (FAQs)