• Русский
      • Уведомление о переводе ИИ

      Эта документация была автоматически переведена ИИ.

      Аутентификация: OIDC

      Аутентификация: OIDCProfessional Edition+

      Введение

      Плагин аутентификации OIDC следует стандарту OIDC (OpenID Connect) и использует режим Authorization Code Flow, чтобы пользователь мог входить в NocoBase с помощью учётной записи стороннего провайдера идентификации (IdP).

      Активация плагина

      Добавление аутентификации OIDC

      Перейдите на страницу управления плагинами аутентификации.

      Add — OIDC

      Настройка

      Базовая конфигурация

      НастройкаОписаниеВерсия
      Sign up automatically when the user does not existАвтоматически создавать нового пользователя, если не найдено совпадение с существующим.-
      IssuerIssuer предоставляется IdP, обычно заканчивается на /.well-known/openid-configuration.-
      Client IDИдентификатор клиента-
      Client SecretСекрет клиента-
      scopeНеобязательно, по умолчанию openid email profile.-
      id_token signed response algorithmАлгоритм подписи id_token, по умолчанию RS256.-
      Enable RP-initiated logoutВключить RP-initiated logout: при выходе из NocoBase также выполняется выход из IdP. В IdP укажите URL Post logout redirect, приведённый в разделе Использование.v1.3.44-beta

      Маппинг полей

      НастройкаОписание
      Field MapМаппинг полей. На стороне NocoBase сейчас доступны псевдоним, e-mail и номер телефона. По умолчанию псевдоним получает значение openid.
      Use this field to bind the userПоле для сопоставления с существующим пользователем — e-mail или имя пользователя; по умолчанию e-mail. Информация пользователя от IdP должна содержать email или username.

      Расширенная конфигурация

      НастройкаОписаниеВерсия
      HTTPИспользует ли URL обратного вызова NocoBase протокол http; по умолчанию https.-
      PortПорт URL обратного вызова NocoBase; по умолчанию 443/80.-
      State tokenИспользуется для проверки источника запроса и защиты от CSRF. Можно задать фиксированное значение, настоятельно рекомендуется оставить пустым — будет автоматически сгенерировано случайное. При использовании фиксированного значения оцените риски в вашей среде.-
      Pass parameters in the authorization code grant exchangeПри обмене code на token некоторые IdP требуют передавать Client ID или Client Secret в виде параметров. Установите флажок и укажите имена параметров.-
      Method to call the user info endpointHTTP-метод запроса к API получения информации о пользователе.-
      Where to put the access token when calling the user info endpointСпособ передачи access token при запросе к API получения информации о пользователе.
      - Header — заголовок запроса (по умолчанию).
      - Body — тело запроса, используется с методом POST.
      - Query parameters — параметры запроса, используется с методом GET.      		-
      Skip SSL verificationПропустить проверку SSL при запросах к API IdP. Эта опция делает систему уязвимой к атаке «человек посередине». Включайте только тогда, когда явно понимаете её назначение. Категорически не рекомендуется в production.v1.3.40-beta

      Использование

      НастройкаОписание
      Redirect URLИспользуется для настройки URL обратного вызова в IdP.
      Post logout redirect URLПри включённом RP-initiated logout — для настройки Post logout redirect URL в IdP.
      Info

      Для локального тестирования используйте 127.0.0.1, а не localhost: вход через OIDC требует записи state в cookie клиента для проверки безопасности. Если при входе окно мелькает, но вход не выполняется, проверьте серверные логи на наличие записи о несовпадении state и убедитесь, что в cookie запроса присутствует параметр state. Обычно это происходит из-за несовпадения state в cookie и в запросе.

      Вход

      Откройте страницу входа и нажмите кнопку под формой, чтобы инициировать вход через стороннего поставщика.