深入淺出digiRunner - OIDC應用
前言
你是否注意到,現在使用系統、網站或APP時,除了傳統的帳號密碼輸入,第三方登入已經非常普遍 !
傳統的帳號密碼雖然容易實作,但在安全性上存在不足。使用第三方登入,透過身份識別提供者(IdP)增加了一道驗證關卡,不僅提升了資安層面上的管理,
也讓使用者操作更方便,減少了忘記帳號密碼的困擾。
本篇教學文章將從管理者的角度,詳細介紹如何在 digiRunner (dgR) 系統中設定並應用 Google 的 OpenID Connect (OIDC)。
從取得 Google 的 OAuth 2.0 用戶端 ID 和密鑰,到在 dgR 系統中完成設置,再到實現 Google 第三方登入的實際驗證,幫助您提升系統的安全性與使用便利性。
在現今高度數位化的環境中,安全且便捷的身份驗證方式愈發重要。OpenID Connect (OIDC) 為我們提供了一個統一的身份驗證框架,使得用戶可以通過第三方服務(如 Google)進行安全登入。本篇教學文章將詳細介紹如何在 digiRunner (dgR) 系統中設定並應用 Google 的 OIDC。從取得 Google 的 OAuth 2.0 用戶端 ID 及密鑰,到在 dgR 系統中完成設定,再到最終實現第三方 Google 登入的驗證,我們將一步步帶您完成這一過程。無論您是開發者還是系統管理員,這篇文章都將幫助您輕鬆掌握 OIDC 的實際應用,提升系統的安全性與使用便利性。
一、取得Google的OAuth用戶端ID及密鑰
-
系統提供了 Google 和 Microsoft 身分驗證伺服器維護功能,以下以 Google 為例進行示範。
-
在使用之前,您必須先前往 Google Cloud 頁面建立 OAuth 2.0 的用戶端 ID。
-
輸入URL「https://console.cloud.google.com/apis/credentials?hl=zh-tw」,至Google Cloud Platform (GCP) 頁面,並成功登入您的帳戶。
-
點選「API和服務」,然後選擇「憑證」,進入憑證頁面。
-
點選「建立憑證」,然後選擇「OAuth 用戶端ID」,跳轉到建立頁面。
-
在「應用程式類型*」欄位下,選擇「網頁應用程式」。
-
在「已授權的重新導向 URI*」欄位,點擊 [ 新增 URL ] 以加入一個空欄位。
-
將「https://digiRunner的IP:port號/dgrv4/ssotoken/acidp/GOOGLE/acIdPCallback」輸入到空欄位中。
-
點選 [ 建立 ] 完成建立。
-
成功建立後,您將獲得用戶端編號(Client Id)和用戶端密鑰(Client Secret)。
-
這些參數將用於後續在 dgR 系統中設置「Client Id」欄位和「Client Password」欄位所需的參數。
二、至dgR去串接OAuth2.0的IDP
-
確認 IP 與 Port 是否正確是非常重要的一步,讓我們按照以下步驟進行
-
登入 dgR 系統管理介面,在左側選單中,點選「系統設定」然後選擇「Setting」,進入設定頁面。
-
在設定頁面中,使用關鍵字查詢功能,依次查詢「AC_IDP_ACCALLBACK_URL」、「AC_IDP_MSG_URL」和「AC_IDP_REVIEW_URL」,以取得這三個欄位的參數。
-
確認這三個欄位中的 IP 和 Port 與現有的 dgR 環境相符。
-
請點選左側選單中的「AC權限管理」,然後選擇「AC OAuth 2.0 IdP」,接著點選 [ 建立 ] 。
-
好的,讓我們來填寫這些必填欄位:
-
Client Id*:從 Google Cloud Platform 取得的用戶端編號。
-
Client Name*:(這是您想給予此用戶端的名稱)
-
Client Password*:從 Google Cloud Platform 取得的用戶端密鑰。
-
Type*:GOOGLE
-
Client Status*:Y
-
Callback URL*:https://digiRunner的IP:port號/dgrv4/ssotoken/acidp/GOOGLE/acIdPCallback
-
Well Known URL*:https://accounts.google.com/.well-known/openid-configuration
-
點選 [ 建立 ] 完成後,您應該可以從 AC OAuth 2.0 IdP 列表中看到新增的 OAuth 2.0 IdP 資料。
三、至dgR登入口使用第三方的Google來登入
-
Microsoft 可參考該登入流程來實作。
-
請進入 digiRunner 登入頁面,網址為「https://ip位置:port號/dgrv4/ac4/login」
-
接著,點擊 [ Google 圖示 ] 。如果您已經完成註冊,系統應該會自動填入您的 Google 資料。
-
如果您的身份驗證成功,系統會自動建立Delegate的使用者資料,但您可能需要等待審核者進行審核。
-
當您需要修改審核狀態時,您可以使用具有最高權限的使用者帳號進行登入。您也可以通過系統發送的審核信件來完成審核。讓我們透過系統的使用者介面來示範並解釋相關的連動項目。
-
登入後,點選左側選單中的「AC 權限管理」,然後選擇「Delegate AC User」。您將會看到一筆由系統自動建立的 OIDC 使用者帳號,其狀態欄位顯示為「request」。接著,點擊 [ 更新 ] 以進入更新頁面。
-
進入更新頁面後,請將「Status*」欄位設定為「Allow」,然後點擊 [ 更新 ] 以完成狀態的更新。
-
更新完成後,返回列表,您將會注意到該筆資料的 Status* 欄位已經更新為「Allow」,這表示審核已經完成。
-
回到登入頁面後,請點擊 [ Google 圖示 ] 。如果您的身份驗證是正確的,您將會成功登入,並進入到 dgR 系統的主頁。
結語
透過本篇教學文章,您已經全面了解了如何在 digiRunner (dgR) 系統中進行 Google 的 OIDC 設定及應用。
從取得 Google 的 OAuth 2.0 用戶端 ID 和密鑰,到在 dgR 系統中完成設置,再到實際驗證 Google 第三方登入的成功,我們詳細講解了每個步驟。相信看完以上說明,各位讀者對於第三方登入設定已有了更清晰的理解。
通過這些流程步驟,您可以輕鬆實現使用 Google 登入,提升系統的安全性與使用便利性。
至此,系統的介紹還有許多精彩內容等待與各位讀者分享,若您正在評估企業是否要導入 APIM 管理平台,dgR 是一個可以協助企業進行資訊管理的得力助手,在下一篇文章中,我們將介紹 API 的註冊與測試,這是一個非常精彩的主題。
請持續關注我們的更新,也別忘了給我們的文章按讚鼓勵!