Allgemeine Einstellungen für die OIDC-Anwendung konfigurieren

Online bearbeiten

Konfigurieren Sie die Einstellungen für den „ OpenID Connect“-Anbieter, die für die „ OpenID Connect“-Anwendungen in diesem Mandanten gelten.

Vorgehensweise

  1. Wählen Sie „Anwendungen“ > „Anwendungseinstellungen “ > „Allgemeine OIDC-Einstellungen “.
  2. Geben Sie in Verify die grundlegenden Informationen zu den allgemeinen Einstellungen ein.
    Feld Beschreibung
    Hostname des Ausstellers Der Hostname des JWT-Ausstellers. Es muss sich um den Hostnamen des Mandanten oder einen der benutzerdefinierten Hostnamen handeln. Die vollständige Emittenten-Zeichenkette lautet https://{issuerHostname}/oidc/endpoint/default.
    Basis-URL für MTLS-Endpunkte Die Basis- URL en für MTLS-Endpunkte müssen Protokollschemata enthalten, die denen von https ähneln.
    Gültigkeitsdauer des ID-Tokens Die Gültigkeitsdauer des ID-Tokens in Sekunden. Maximal 2147483647, minimal 1.
    Option zur Fehlertoleranz für Refresh-Token Die Maßnahme, die nach der Verwendung des Aktualisierungstokens ergriffen wird. Das Attribut verfügt über zwei Optionen.
    Lebensdauer der Fehlertoleranz für Refresh-Token
    Wenn die verbleibende Gültigkeitsdauer des verwendeten Aktualisierungstokens größer ist als der Wert von Refresh token fault tolerance lifetime, setze sie auf den Wert von Refresh token fault tolerance lifetime.
    Widerrufen
    Das verwendete Aktualisierungstoken wird sofort widerrufen. Die verbleibende Lebensdauer wird ignoriert.
    Nicht drehen
    Während der Aktualisierung wird kein neues Aktualisierungstoken erstellt. In der Antwort wird dasselbe Aktualisierungstoken zurückgegeben, dessen Gültigkeitsdauer der des ursprünglichen Tokens entspricht.
    Lebensdauer der Fehlertoleranz für Refresh-Token Die Zeitdauer in Sekunden, für die das Aktualisierungstoken nach seiner Verwendung noch gültig ist. Das Aktualisierungstoken kann erneut verwendet werden, wenn der Client bei einer Token-Aktualisierung keine neuen Token erhält. Dieser Wert wird nicht verwendet, wenn die verbleibende Gültigkeitsdauer des Aktualisierungstokens kürzer ist. Maximal 2147483647, minimal 1.
    Zeitabweichung bei der JWT-Validierung Der Versatz in Sekunden, der bei der Validierung von iat, nbf, und exp in jedem eingehenden JWT verwendet wird.
    iat
    Der Zeitpunkt, zu dem das Token erstellt wurde.
    nbf
    Erst ab diesem Zeitpunkt kann der Gutschein eingelöst werden.
    exp
    Die Ablaufzeit des JWT.
    Beispiele hierfür sind JWT-Token mit privatem Schlüssel für die Client-Authentifizierung, Anfrageobjekte und JWT-Bearer-Token.
    Abfrageintervall für den Gerätefluss Das Abfrageintervall für den Geräte-Datenfluss in Sekunden. Maximal 3600, mindestens 2.
    Lebensdauer des Geräte-Flow-Codes Die Lebensdauer des Geräte-Flow-Gerätecodes und des Benutzercodes in Sekunden. Maximal 1800, mindestens 1.
    Länge des Client-Geheimnisses Die Länge des automatisch generierten Client-Geheimnisses. Maximal 25, mindestens 8.
    Rotierte Geheimnislänge Die standardmäßige Gültigkeitsdauer des Client-Geheimnisses in Tagen. Maximal 90, minimal 0.
    Client-Authentifizierung am Endpunkt für die Geräteauthentifizierung erzwingen Die Einstellung, mit der die Client-Authentifizierung erzwungen wird, wenn der Autorisierungsablauf des Geräts „ OAuth “ ausgelöst wird.
    Standardschlüssel für Signatur Der Standard-JWT-Signaturschlüssel.
    Standardschlüssel für Verschlüsselung Der Standard-Verschlüsselungsschlüssel für JWT.
    'x5c' in JWKS-Ausgabe ausschließen Die Einstellung zum Ausschluss von „ x5c “ in JWKS.
    'x5t' und 'x5t#S256' in JWKS-Ausgabe ausschließen Die Einstellung zum Ausschluss von „ x5t “ und „ x5t#S256 “ in JWKS.
    Den Austausch von Zugriffstoken für eine SSO-Sitzung zulassen Austausch von Zugriffstoken für die SSO-Sitzung.

    Zulassen: Zugriffstoken können gegen eine SSO-Sitzung eingetauscht werden.

    Token zulassen und widerrufen: Zugriffstoken können für eine SSO-Sitzung ausgetauscht werden, das Token wird jedoch widerrufen.

    Ablehnen: Zugriffstoken können nicht gegen eine SSO-Sitzung eingetauscht werden.
    Weitere Eigenschaften für die Metadaten des Anbieters „ OpenID “ hinzufügen 
    
{
	"additionalMetadata": "some value"
}
    Tokenaustausch Ein kurzer Zeitraum in Sekunden, der vor oder nach der offiziellen Ablaufzeit eines ID-Tokens hinzugefügt wird. Es berücksichtigt mögliche Taktabweichungen oder Netzwerkverzögerungen zwischen den Systemen. Dieses Zeitfenster verhindert, dass gültige Token aufgrund geringfügiger Zeitunterschiede zwischen dem Token-Aussteller und dem Prüfer fälschlicherweise abgelehnt werden.
    Möglichkeiten zur Zuordnung von Ansprüchen Mitarbeiter OAuth oder OpenID Verknüpfen Sie Scopes mit bestimmten Benutzerinformationsfeldern, sogenannten Claims. Wenn ein Client bestimmte Zugriffsbereiche anfordert, ermittelt der Autorisierungsserver anhand dieser Zuordnung, welche Claims in die ausgegebenen Tokens oder die Antworten mit Benutzerinformationen aufgenommen werden sollen.
  3. Geben Sie in Verify allgemeine Einstellungen für den Token-Austausch an.
    Feld Beschreibung
    Toleranzfenster für das Ablaufen von ID-Token Die Zeitspanne in Sekunden nach Ablauf, in der das ID-Token noch für den Tokenaustausch verwendet werden kann. Wenn diese Option nicht gesetzt ist, wird die Gültigkeitsdauer des ID-Tokens nicht überprüft. Maximal 86400, minimal 5.
  4. Klicken Sie auf „Änderungen speichern “.