Externí přihlašování
Rozšíření aplikace Externí přihlašování umožňuje využít přihlašování do aplikace prostřednictvím služby třetí strany. Přihlašování je založeno na standartu OAuth 2.0 nebo SAML 2.0. Díky využití přihlašování prostřednictvím OAuth 2.0 nebo SAML 2.0 není nutné mít zřízeno heslo pro přístup do portálu. Je možno se přihlásit prostřednictvím účtu Google, Microsoft, případně vlastního přihlašování, které dokáže komunikovat s aplikací KS Portál prostřednictvím tohoto standartu. Případně za využití OpenID protokolu. V těchto službách tak může být nastaveno více-faktorové ověření na základě něhož dojde k předání příslušného uživatelského jména, které je následně spárováno na základě parametru ZdrojOsCisla.
Pro využití je nutno zaregistrovat si aplikaci KS-Portál jako důvěryhodnou a využít tak principů tohoto standardu. Je tak možno dosáhnout vyšší bezpečnosti při autentizaci a autorizaci uživatelů při přihlašování do portálu. Na straně portálu je pak vyžadováno nastavení konektivity s autentizační službou a nastavení uživatelských jmen uživatelům KS Portálu, které budou následně korektně asociována s údaji, které vrátí autentizační služba. Díky využití tohoto rozšíření, nejsou uživatele nuceni zadávat své přihlašovací údaje do portálu a bezpečnostní politika hesel tak zůstává svěřena třetí straně. Komunikace mezi KS Portálem a autentizační službou musí probíhat prostřednictvím zabezpečeného přenosu s využitím šifrování pomocí TLS za využití protokolu HTTPS.
Princip činnosti
Uživatel přistoupí na stránku určenou pro přihlašování do portálu, například : „https://ksprogram.cz/demo/ksportal/Public/ExternalLogin.aspx“ . Uživatel je poté přesměrován na stránku autentizační služby například stránka Googlu, Microsoft, apod. Při tomto přesměrování dojde k odeslání informací, potřebných pro žádost autentizačního serveru. Uživatel následně zadá své přihlašovací údaje do tohoto účtu. Provede veškeré úkony spojené s přihlašováním a je přesměrován zpět na portál. Tato odpověď již obsahuje informace, které slouží KS Portálu pro vytvoření dohody s autentizačním severem, který následně portálu předá přihlašovací jméno. Toto jméno je následně spárováno s uživatelským jménem přiřazeným danému uživateli KS Portálu. Uživatel se tedy ocitne na stránce po přihlášení, například „https://ksprogram.cz/demo/ksportal/Default.aspx“.
Konfigurace OAuth 2.0 přihlašování
- Zapnutí rozšíření Externí přihlašování prostřednictvím C/S aplikace KS Mzdy PROFi v agendě Nápověda - Rozšíření aplikace
- Upravení web.config
<add key="ExternalLogin" value="OAUTH2"/>
<add key="ClientId" value="" />
<add key="ClientSecret" value="" />
<add key="scope" value="https://graph.microsoft.com/.default" />
<add key="State" value="1"/>
<add key="AuthenticationEndpoint" value="" />
<add key="RedirectUri" value="https://localhost:44301/ksportal/Public/ExternalLogin.aspx" />
<add key="TokenEndpoint" value="" />
<add key="UserinfoEndpoint" value="https://graph.microsoft.com/v1.0/me" />
<add key="OauthUsername" value="userPrincipalName" />
<add key="LogoutEndpoint" value="" />
<add key="LogoutRedirectUri" value="https://localhost:44301/ksportal/Public/ExternalLogin.aspx" />
<add key="Nonce" value="1"/>
<add key="ResponseType" value="code"/>
<add key="ResponseMode" value="form_post"/>
