• Tiếng Việt

      • Xác thực: OIDC

      Xác thực: OIDCProfessional Edition+

      Giới thiệu

      Plugin Xác thực: OIDC tuân theo chuẩn giao thức OIDC (OpenID Connect), sử dụng Authorization Code Flow, cho phép người dùng đăng nhập NocoBase bằng tài khoản do nhà cung cấp xác thực danh tính bên thứ ba (IdP) cung cấp.

      Kích hoạt plugin

      Thêm xác thực OIDC

      Vào trang quản lý plugin xác thực người dùng.

      Thêm - OIDC

      Cấu hình

      Cấu hình cơ bản

      Cấu hìnhMô tảPhiên bản
      Sign up automatically when the user does not existKhi không tìm thấy người dùng hiện có để match, có tự động tạo người dùng mới hay không.-
      IssuerIssuer do IdP cung cấp, thường kết thúc bằng /.well-known/openid-configuration.-
      Client IDClient ID-
      Client SecretClient Secret-
      scopeTùy chọn, mặc định là openid email profile.-
      id_token signed response algorithmPhương thức ký id_token, mặc định là RS256.-
      Enable RP-initiated logoutBật RP-initiated logout, khi người dùng đăng xuất sẽ đăng xuất trạng thái của IdP. Callback đăng xuất của IdP điền Post logout redirect URL từ phần Sử dụng.v1.3.44-beta

      Ánh xạ field

      Cấu hìnhMô tả
      Field MapÁnh xạ field. Phía NocoBase hiện có thể ánh xạ các field nickname, email và số điện thoại. Nickname mặc định dùng openid.
      Use this field to bind the userField dùng để match và gắn với người dùng hiện có, có thể chọn email hoặc username, mặc định là email. Cần thông tin người dùng do IdP mang theo phải có field email hoặc username.

      Cấu hình nâng cao

      Cấu hìnhMô tảPhiên bản
      HTTPĐịa chỉ callback NocoBase có dùng giao thức http hay không, mặc định https.-
      PortPort của địa chỉ callback NocoBase, mặc định 443/80.-
      State tokenDùng để kiểm tra nguồn request, ngăn chặn tấn công CSRF. Có thể điền giá trị cố định, rất khuyến nghị để trống, hệ thống sẽ tự sinh giá trị ngẫu nhiên. Nếu muốn dùng giá trị cố định, bạn cần tự đánh giá môi trường sử dụng và rủi ro bảo mật.-
      Pass parameters in the authorization code grant exchangeKhi dùng code đổi token, một số IdP có thể yêu cầu truyền Client ID hoặc Client Secret làm tham số, có thể tick chọn và điền tên tham số tương ứng.-
      Method to call the user info endpointHTTP method khi request API lấy thông tin người dùng.-
      Where to put the access token when calling the user info endpointCách truyền access token khi request API lấy thông tin người dùng.
      - Header - Request header, mặc định.
      - Body - Request body, dùng kết hợp với method POST.
      - Query parameters - Tham số request, dùng kết hợp với method GET.      		-
      Skip SSL verificationBỏ qua kiểm tra SSL khi request API IdP. Tùy chọn này khiến hệ thống của bạn dễ bị tấn công man-in-the-middle, chỉ tick chọn khi bạn biết rõ mục đích của tùy chọn này. Cực kỳ không khuyến nghị sử dụng trong môi trường production.v1.3.40-beta

      Sử dụng

      Cấu hìnhMô tả
      Redirect URLDùng để điền vào cấu hình callback URL của IdP.
      Post logout redirect URLKhi bật RP-initiated logout, dùng để điền vào cấu hình Post logout redirect URL của IdP.
      Info

      Khi test cục bộ, hãy dùng URL 127.0.0.1 thay vì localhost, vì phương thức đăng nhập OIDC cần ghi state vào cookie client để kiểm tra bảo mật. Nếu khi đăng nhập xuất hiện cửa sổ thoáng qua nhưng không đăng nhập thành công, hãy kiểm tra xem server có log state không khớp không và cookie request có chứa tham số state không. Tình huống này thường do state trong cookie client và state trong request không khớp.

      Đăng nhập

      Truy cập trang đăng nhập, click nút bên dưới form đăng nhập để bắt đầu đăng nhập bên thứ ba.