Konfigurieren Sie die Anwendung so, dass sie Ihren Authentifizierungsanbieter verwendet. SystemLink Enterprise verwendet das OpenID Connect-Protokoll zur Authentifizierung von Benutzern über einen externen Authentifizierungsanbieter.

Bevor Sie beginnen, registrieren Sie SystemLink Enterprise als Client bei Ihrem Authentifizierungsanbieter. In der Dokumentation Ihres Authentifizierungsanbieters finden Sie Informationen zum jeweils erforderlichen Registrierungsprozess. Verwenden Sie den UI-Host-Namen der Anwendung für die Registrierung.
Nach der Registrierung sollten Sie die Werte client id und client secret für Ihre Anwendung haben. Je nach Anbieter verfügen Sie möglicherweise auch über ein JSON-Web-Key-Set (JWKS). Sie benötigen diese sowie die URL Ihres Authentifizierungsanbieters, um SystemLink Enterprise zu konfigurieren.
  1. Öffnen Sie systemlink-values.yaml.
  2. Geben Sie für webserver.oidc.issuer die URL Ihres Authentifizierungsanbieters an. Verwenden Sie die folgende URL, um die Anmeldeumleitung für Ihren Provider zu konfigurieren. [Protokoll]://[ui-hostname]/oidc/callback
  3. Setzen Sie die folgenden Parameter auf die Werte, die Sie bei der Registrierung erhalten haben.
    • webserver.secrets.oidc.clientId
    • webserver.secrets.oidc.clientSecret
    • webserver.secrets.oidc.jwks
    Hinweis Wenn Sie zur Verwaltung von Secrets nicht Helm verwenden, müssen Sie das OpenID Connect-Secret manuell konfigurieren.
  4. Optional: Konfigurieren Sie den Wert webserver.oidc.scope, um die OpenID Connect-Bereiche auszuwählen, die SystemLink Enterprise abfragen soll. Standardmäßig fragt SystemLink Enterprise die Bereiche openid, email und profile ab. Der Bereich openid ist erforderlich. Die Bereiche profile und email werden zum Auffüllen der Benutzerdetails in der Benutzeroberfläche verwendet. Andere Bereiche können beim Zuweisen von Benutzerrollen in der Anwendung nützlich sein. Lesen Sie in der Dokumentation Ihres Authentifizierungsanbieters nach, welche Bereiche zur Verfügung stehen.
    Hinweis Fügen Sie den Bereich offline_access hinzu, damit Benutzer protokollierte Claims von Benutzern unter https://<systemlink-host>/oidc/user-info sehen können. Dadurch können Sie sicherstellen, dass Ihr gewünschter Claim bei der Einrichtung einer OIDC Claim-Zuordnung für SystemLink verfügbar ist.
  5. Vergewissern Sie sich, dass der Authentifizierungsanbieter folgende minimale Claims mit dem Identitätstoken jedes Benutzers ausgibt.
    • E-Mail
    • given_name
    • family_name
  6. Optional: Konfigurieren Sie den Wert webserver.oidc.userIDClaim. Dieser Wert ist der OpenID Connect Claim, den SystemLink Enterprise zur Identifizierung eines Benutzers verwendet. Standardmäßig verwendet SystemLink Enterprise die E-Mail-Adresse des Benutzers.
    Hinweis Wenn Sie diesen Wert ändern, nachdem das Produkt in Gebrauch genommen wurde, gehen alle Benutzerberechtigungen verloren.
  7. Optional: Konfigurieren Sie den OpenID Connect Claim, den SystemLink Enterprise als Benutzernamen für einen bestimmten Benutzer verwenden soll. In der Standardeinstellung ist dies die Eigenschaft name. Diese Einstellung wirkt sich nur darauf aus, wie Benutzer in der Benutzeroberfläche angezeigt werden.
  8. Optional: Der Cluster erfordert möglicherweise einen Proxy-Server für den Zugriff auf Ihren OpenID Connect-Authentifizierungsanbieter. Setzen Sie in diesem Fall webserver.proxy.authority auf den Host-Namen und Port des Proxy-Servers.
  9. Optional: Wenn der Proxy-Server Zugangsdaten benötigt, müssen Sie webserver.proxy.secretname auskommentieren.
  10. Optional: Konfigurieren Sie in systemlink-secrets.yaml die Werte webserver.secrets.proxy.username und webserver.secrets.proxy.password oder stellen Sie diese Secrets manuell bereit.