Перейти к основному содержимому
Версия: Indeed Certificate Manager 7.2

Сервер OpenID Connect

Сервер OpenID Connect предназначен для аутентификации пользователей в веб-приложениях Indeed CM по протоколу OpenID Connect.

Является обязательным для инсталляций системы под управлением ОС Linux и дополнительным для инсталляций под управлением ОС Windows. Установите сервер OpenID Connect до установки сервера Indeed CM.

Примечание

OpenID Connect (OIDC) – это протокол аутентификации и авторизации, разработанный на основе OAuth 2.0, который добавляет слой идентификации к протоколу OAuth. Он позволяет приложениям проверять идентичность пользователя и получать информацию о нем от провайдера идентификации (Identity Provider, IdP).

Выберите инструкцию в зависимости от ОС рабочей станции, где вы планируете установить сервер Indeed CM.

  1. Установите сервер OIDC из дополнительного пакета IndeedCM.Oidc.Server-<номер версии>.x64.ru-ru.msi.
  2. Установите сервер Indeed CM и в Мастере установки сервера выберите способ контроля доступа Аутентификация OpenID Connect.
  3. Подготовьте сертификат подписи JWT-токенов по инструкции ниже.
  4. Настройте параметры взаимодействия Indeed CM с сервером OIDC в Мастере настройки в разделе Контроль доступа  OpenID Connect.
  5. Примените настройки на сервере Indeed CM.

Подготовка сертификата подписи JWT-токенов

В качестве сертификата подписи используйте сертификат и закрытый ключ, созданные для веб-сервера.

Чтобы подготовить сертификат подписи:

  1. Поместите сертификат подписи в хранилище Локальный компьютер – Личное.
  2. Предоставьте IIS полный доступ к закрытому ключу сертификата подписи.
    1. Перейдите в оснастку Сертификаты (Certificates) компьютера, на котором установлен сервер OIDC.
    2. Нажмите правой кнопкой мыши на сертификат, выберите Все задачи (All tasks) → Управление закрытыми ключами... (Manage Private Keys...) и нажмите Добавить (Add).
    3. В меню Размещение (Location) укажите сервер.
    4. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
    5. Выставите права Полный доступ (Full Control) и Чтение (Read).
    6. Нажмите Применить (Apply).

Изменение настроек базы данных

По умолчанию сервер OIDC использует локальную базу данных SQLite. База данных SQLite используется для инсталляций с одним сервером Indeed CM. Данные сервера OIDC хранятся в каталоге C:\inetpub\wwwroot\cm\oidc\data.

Помимо SQLite, вы можете использовать базу данных Microsoft SQL или PostgreSQL. Чтобы настроить подключение к Microsoft SQL или PostgreSQL, внесите изменения в конфигурационный файл сервера OIDC appsettings.json вручную. Файл appsettings.json находится по пути C:\inetpub\wwwroot\cm\oidc.

  1. Создайте базу данных в Microsoft SQL.

  2. Откройте конфигурационный файл сервера OIDC appsettings.json и измените секции defaultConnection и provider. В примере для подключения к базе данных используется SQL аутентификация.

    • "defaultConnection": "Data Source=MSSQL\SQLEXPRESS;Initial Catalog=oidcdb;Persist Security Info=True;User ID=servicesql;Password=p@ssw0rd;TrustServerCertificate=True"
    • "provider": "mssql"

  3. Перезапустите пул приложения IndeedCM OIDC, чтобы сохранить изменения.

    1. Откройте Диспетчер служб IIS (Internet Information Services Manager) и в левом меню выберите Пул приложений IIS (Application pools).
    2. Выберите приложение IndeedCM OIDC и в правом меню нажмите Перезапуск (Recycle).
Пример параметров подключения к Microsoft SQL
"connectionStrings": {
  "defaultConnection": "Data Source=MSSQL\SQLEXPRESS;Initial Catalog=oidcdb;Persist Security Info=True;User ID=servicesql;Password=p@ssw0rd;TrustServerCertificate=True"
},
"database": {
  "provider": "mssql"
},