前言

你是否注意到，現在使用系統、網站或APP時，除了傳統的帳號密碼輸入，第三方登入已經非常普遍 !
傳統的帳號密碼雖然容易實作，但在安全性上存在不足。使用第三方登入，透過身份識別提供者(IdP)增加了一道驗證關卡，不僅提升了資安層面上的管理，
也讓使用者操作更方便，減少了忘記帳號密碼的困擾。
本篇教學文章將從管理者的角度，詳細介紹如何在 digiRunner (dgR) 系統中設定並應用 Google 的 OpenID Connect (OIDC)。
從取得 Google 的 OAuth 2.0 用戶端 ID 和密鑰，到在 dgR 系統中完成設置，再到實現 Google 第三方登入的實際驗證，幫助您提升系統的安全性與使用便利性。

在現今高度數位化的環境中，安全且便捷的身份驗證方式愈發重要。OpenID Connect (OIDC) 為我們提供了一個統一的身份驗證框架，使得用戶可以通過第三方服務（如 Google）進行安全登入。本篇教學文章將詳細介紹如何在 digiRunner (dgR) 系統中設定並應用 Google 的 OIDC。從取得 Google 的 OAuth 2.0 用戶端 ID 及密鑰，到在 dgR 系統中完成設定，再到最終實現第三方 Google 登入的驗證，我們將一步步帶您完成這一過程。無論您是開發者還是系統管理員，這篇文章都將幫助您輕鬆掌握 OIDC 的實際應用，提升系統的安全性與使用便利性。

一、取得Google的OAuth用戶端ID及密鑰

• 系統提供了 Google 和 Microsoft 身分驗證伺服器維護功能，以下以 Google 為例進行示範。

• 在使用之前，您必須先前往 Google Cloud 頁面建立 OAuth 2.0 的用戶端 ID。

1. 輸入URL「https://console.cloud.google.com/apis/credentials?hl=zh-tw」，至Google Cloud Platform (GCP) 頁面，並成功登入您的帳戶。

2. 點選「API和服務」，然後選擇「憑證」，進入憑證頁面。

3. 點選「建立憑證」，然後選擇「OAuth 用戶端ID」，跳轉到建立頁面。

4. 在「應用程式類型*」欄位下，選擇「網頁應用程式」。

5. 在「已授權的重新導向 URI*」欄位，點擊 [ 新增 URL ] 以加入一個空欄位。

6. 將「https://digiRunner的IP:port號/dgrv4/ssotoken/acidp/GOOGLE/acIdPCallback」輸入到空欄位中。

7. 點選 [ 建立 ] 完成建立。

8. 成功建立後，您將獲得用戶端編號（Client Id）和用戶端密鑰（Client Secret）。

9. 這些參數將用於後續在 dgR 系統中設置「Client Id」欄位和「Client Password」欄位所需的參數。

二、至dgR去串接OAuth2.0的IDP

• 確認 IP 與 Port 是否正確是非常重要的一步，讓我們按照以下步驟進行

1. 登入 dgR 系統管理介面，在左側選單中，點選「系統設定」然後選擇「Setting」，進入設定頁面。

2. 在設定頁面中，使用關鍵字查詢功能，依次查詢「AC_IDP_ACCALLBACK_URL」、「AC_IDP_MSG_URL」和「AC_IDP_REVIEW_URL」，以取得這三個欄位的參數。

3. 確認這三個欄位中的 IP 和 Port 與現有的 dgR 環境相符。

4. 請點選左側選單中的「AC權限管理」，然後選擇「AC OAuth 2.0 IdP」，接著點選 [ 建立 ] 。

5. 好的，讓我們來填寫這些必填欄位：

1. Client Id*：從 Google Cloud Platform 取得的用戶端編號。

2. Client Name*：（這是您想給予此用戶端的名稱）

3. Client Password*：從 Google Cloud Platform 取得的用戶端密鑰。

4. Type*：GOOGLE

5. Client Status*：Y

6. Callback URL*：https://digiRunner的IP:port號/dgrv4/ssotoken/acidp/GOOGLE/acIdPCallback

7. Well Known URL*：https://accounts.google.com/.well-known/openid-configuration

6. 點選 [ 建立 ] 完成後，您應該可以從 AC OAuth 2.0 IdP 列表中看到新增的 OAuth 2.0 IdP 資料。

三、至dgR登入口使用第三方的Google來登入

1. Microsoft 可參考該登入流程來實作。

1. 請進入 digiRunner 登入頁面，網址為「https://ip位置:port號/dgrv4/ac4/login」

2. 接著，點擊 [ Google 圖示 ] 。如果您已經完成註冊，系統應該會自動填入您的 Google 資料。

3. 如果您的身份驗證成功，系統會自動建立Delegate的使用者資料，但您可能需要等待審核者進行審核。

4. 當您需要修改審核狀態時，您可以使用具有最高權限的使用者帳號進行登入。您也可以通過系統發送的審核信件來完成審核。讓我們透過系統的使用者介面來示範並解釋相關的連動項目。

5. 登入後，點選左側選單中的「AC 權限管理」，然後選擇「Delegate AC User」。您將會看到一筆由系統自動建立的 OIDC 使用者帳號，其狀態欄位顯示為「request」。接著，點擊 [ 更新 ] 以進入更新頁面。

6. 進入更新頁面後，請將「Status*」欄位設定為「Allow」，然後點擊 [ 更新 ] 以完成狀態的更新。

7. 更新完成後，返回列表，您將會注意到該筆資料的 Status* 欄位已經更新為「Allow」，這表示審核已經完成。

8. 回到登入頁面後，請點擊 [ Google 圖示 ] 。如果您的身份驗證是正確的，您將會成功登入，並進入到 dgR 系統的主頁。

結語

透過本篇教學文章，您已經全面了解了如何在 digiRunner (dgR) 系統中進行 Google 的 OIDC 設定及應用。
從取得 Google 的 OAuth 2.0 用戶端 ID 和密鑰，到在 dgR 系統中完成設置，再到實際驗證 Google 第三方登入的成功，我們詳細講解了每個步驟。相信看完以上說明，各位讀者對於第三方登入設定已有了更清晰的理解。
通過這些流程步驟，您可以輕鬆實現使用 Google 登入，提升系統的安全性與使用便利性。

至此，系統的介紹還有許多精彩內容等待與各位讀者分享，若您正在評估企業是否要導入 APIM 管理平台，dgR 是一個可以協助企業進行資訊管理的得力助手，在下一篇文章中，我們將介紹 API 的註冊與測試，這是一個非常精彩的主題。
請持續關注我們的更新，也別忘了給我們的文章按讚鼓勵！

參考文獻

1. OIDC 如何解決密碼安全與 API 管理混亂的問題？

系列文章