深入淺出digiRunner 系統基礎管理

深入淺出digiRunner - OIDC應用

陳奕勳 Chris Chen / 黃迺智 Sean Huang 2024/06/27 23:34:17
329

前言

你是否注意到,現在使用系統、網站或APP時,除了傳統的帳號密碼輸入,第三方登入已經非常普遍 !
傳統的帳號密碼雖然容易實作,但在安全性上存在不足。使用第三方登入,透過身份識別提供者(IdP)增加了一道驗證關卡,不僅提升了資安層面上的管理,
也讓使用者操作更方便,減少了忘記帳號密碼的困擾。
本篇教學文章將從管理者的角度,詳細介紹如何在 digiRunner (dgR) 系統中設定並應用 Google 的 OpenID Connect (OIDC)。
從取得 Google 的 OAuth 2.0 用戶端 ID 和密鑰,到在 dgR 系統中完成設置,再到實現 Google 第三方登入的實際驗證,幫助您提升系統的安全性與使用便利性。

在現今高度數位化的環境中,安全且便捷的身份驗證方式愈發重要。OpenID Connect (OIDC) 為我們提供了一個統一的身份驗證框架,使得用戶可以通過第三方服務(如 Google)進行安全登入。本篇教學文章將詳細介紹如何在 digiRunner (dgR) 系統中設定並應用 Google 的 OIDC。從取得 Google 的 OAuth 2.0 用戶端 ID 及密鑰,到在 dgR 系統中完成設定,再到最終實現第三方 Google 登入的驗證,我們將一步步帶您完成這一過程。無論您是開發者還是系統管理員,這篇文章都將幫助您輕鬆掌握 OIDC 的實際應用,提升系統的安全性與使用便利性。

一、取得Google的OAuth用戶端ID及密鑰

  • 系統提供了 Google 和 Microsoft 身分驗證伺服器維護功能,以下以 Google 為例進行示範。

  • 在使用之前,您必須先前往 Google Cloud 頁面建立 OAuth 2.0 的用戶端 ID。

  1. 輸入URL「https://console.cloud.google.com/apis/credentials?hl=zh-tw」,至Google Cloud Platform (GCP) 頁面,並成功登入您的帳戶。

  2. 點選「API和服務」,然後選擇「憑證」,進入憑證頁面。

  3. 點選「建立憑證」,然後選擇「OAuth 用戶端ID」,跳轉到建立頁面。

 

  1. 「應用程式類型*欄位下,選擇「網頁應用程式」

  2. 「已授權的重新導向 URI*欄位,點擊 [ 新增 URL ] 以加入一個空欄位。

  3. 將「https://digiRunner的IP:port號/dgrv4/ssotoken/acidp/GOOGLE/acIdPCallback」輸入到空欄位中。

  4. 點選 [ 建立 ] 完成建立。

 

  1. 成功建立後,您將獲得用戶端編號(Client Id)和用戶端密鑰(Client Secret)。

  2. 這些參數將用於後續在 dgR 系統中設置「Client Id」欄位和「Client Password」欄位所需的參數。

 

二、至dgR去串接OAuth2.0的IDP

  • 確認 IP 與 Port 是否正確是非常重要的一步,讓我們按照以下步驟進行

  1. 登入 dgR 系統管理介面,在左側選單中,點選「系統設定」然後選擇「Setting」,進入設定頁面。

  2. 在設定頁面中,使用關鍵字查詢功能,依次查詢「AC_IDP_ACCALLBACK_URL」「AC_IDP_MSG_URL」「AC_IDP_REVIEW_URL」,以取得這三個欄位的參數。

  3. 確認這三個欄位中的 IP 和 Port 與現有的 dgR 環境相符。

  1. 請點選左側選單中的「AC權限管理」,然後選擇「AC OAuth 2.0 IdP」,接著點選 [ 建立 ]

  1. 好的,讓我們來填寫這些必填欄位:

    1. Client Id*從 Google Cloud Platform 取得的用戶端編號。

    2. Client Name*(這是您想給予此用戶端的名稱)

    3. Client Password*從 Google Cloud Platform 取得的用戶端密鑰。

    4. Type*GOOGLE

    5. Client Status*Y

    6. Callback URL*https://digiRunner的IP:port號/dgrv4/ssotoken/acidp/GOOGLE/acIdPCallback

    7. Well Known URL*https://accounts.google.com/.well-known/openid-configuration

 

  1. 點選 [ 建立 ] 完成後,您應該可以從 AC OAuth 2.0 IdP 列表中看到新增的 OAuth 2.0 IdP 資料。

三、至dgR登入口使用第三方的Google來登入

  1. Microsoft 可參考該登入流程來實作。

  1. 請進入 digiRunner 登入頁面,網址為「https://ip位置:port號/dgrv4/ac4/login」

  2. 接著,點擊 [ Google 圖示 ] 。如果您已經完成註冊,系統應該會自動填入您的 Google 資料。

  1. 如果您的身份驗證成功,系統會自動建立Delegate的使用者資料,但您可能需要等待審核者進行審核。

  1. 當您需要修改審核狀態時,您可以使用具有最高權限的使用者帳號進行登入。您也可以通過系統發送的審核信件來完成審核。讓我們透過系統的使用者介面來示範並解釋相關的連動項目。

  2. 登入後,點選左側選單中的「AC 權限管理」,然後選擇「Delegate AC User」。您將會看到一筆由系統自動建立的 OIDC 使用者帳號,其狀態欄位顯示為「request」。接著,點擊 [ 更新 ] 以進入更新頁面。


  1. 進入更新頁面後,請將「Status*」欄位設定為「Allow」,然後點擊 [ 更新 ] 以完成狀態的更新。

  2. 更新完成後,返回列表,您將會注意到該筆資料的 Status* 欄位已經更新為「Allow」,這表示審核已經完成。

 

  1. 回到登入頁面後,請點擊 [ Google 圖示 ] 。如果您的身份驗證是正確的,您將會成功登入,並進入到 dgR 系統的主頁。

結語

透過本篇教學文章,您已經全面了解了如何在 digiRunner (dgR) 系統中進行 Google 的 OIDC 設定及應用。
從取得 Google 的 OAuth 2.0 用戶端 ID 和密鑰,到在 dgR 系統中完成設置,再到實際驗證 Google 第三方登入的成功,我們詳細講解了每個步驟。相信看完以上說明,各位讀者對於第三方登入設定已有了更清晰的理解。
通過這些流程步驟,您可以輕鬆實現使用 Google 登入,提升系統的安全性與使用便利性。

至此,系統的介紹還有許多精彩內容等待與各位讀者分享,若您正在評估企業是否要導入 APIM 管理平台,dgR 是一個可以協助企業進行資訊管理的得力助手,在下一篇文章中,我們將介紹 API 的註冊與測試,這是一個非常精彩的主題。
請持續關注我們的更新,也別忘了給我們的文章按讚鼓勵!

參考文獻

  1. OIDC 如何解決密碼安全與 API 管理混亂的問題?

系列文章

  1.  

陳奕勳 Chris Chen