Erstellen Sie die Konfigurationsdateien, mit denen SystemLink eine Verbindung mit Ihrem OpenID-Connect-Provider herstellt.

  1. Notieren Sie sich die Aussteller-URI (Issuer URl).
    Hinweis Sie finden die Herausgeber-URI in der "Issuer"-Eigenschaft am OpenID-Connect-Konfigurationsendpunkt für Ihren Provider. Wenn die URI beispielsweise https://example.com:9999/v2 lautet, würden Sie die Datei example.com%3A9999%2Fv2.conf nennen.
  2. Melden Sie sich am Server an, auf dem SystemLink ausgeführt wird, und navigieren Sie zu C:\Program Files\National Instruments\Shared\Web Server\conf\openidc.
  3. Erstellen Sie eine Datei mit dem Namen provider-issuer-uri.conf, wobei provider-issuer-uri der vollständig qualifizierte Domänenname Ihres zuvor notierten Providers in URL-Kodierung ist.
  4. Nachfolgend sehen Sie ein Beispiel für die ausgefüllte .conf-Datei. 
    {
  "scope": "openid email profile",
  "ni-attributes": {
    "displayName": "Log in with PingFederate",
    "iconUri": "/login/assets/pf.png"
  },
  "keys": [
    {
      "p": "...",
      "kty": "RSA",
      "q": "...",
      "d": "...",
      "e": "AQAB",
      "use": "enc",
      "kid": "2020-11-20",
      "qi": "...",
      "dp": "...",
      "dq": "...",
      "n": "..."
    }
  ]
}
    • scope – Enthält Claims, die Sie Rollen in SystemLink-Arbeitsbereichen zuordnen können. Sie müssen die Bereiche profile und email einschließen, um die Felder "Vorname", "Nachname" und "E-Mail" in den SystemLink-Benutzereinstellungen auszufüllen. Diese werden jeweils von den Claims given_name, family_name und email hergeleitet. Weitere Informationen zu Verfügbarkeit von Bereichen für Clients finden Sie in der Dokumentation Ihres Providers.
    • ni-attributes – legt den Text und das Symbol fest, die auf der SystemLink-Anmeldeseite angezeigt werden sollen. IconUri ist relativ zu C:\Program Files\National Instruments\Shared\Web Server\htdocs. Das Symbol muss 16x16 Pixel groß sein.
    • keys – Enthält die privaten Schlüssel als JWK-Set, wenn der Provider asymmetrische Verschlüsselung für die Schlüsselverwaltung mit ID-Token verwendet. Die entsprechenden öffentlichen Schlüssel müssen beim Provider registriert sein.
      • use – Benötigt einen Wert enc, um anzugeben, dass der Schlüssel für die Verschlüsselung verwendet wird.
      • kid – Muss mit der Kind-Eigenschaft des entsprechenden öffentlichen Schlüssels auf dem Identitätsanbieter übereinstimmen.
      Dieser Abschnitt kann ausgelassen werden, wenn der Provider symmetrische Verschlüsselung oder keine Verschlüsselung für die Verwaltung von ID-Token-Schlüsseln verwendet.
  5. Speichern und schließen Sie die Datei.
  6. Erstellen Sie eine Datei mit dem Namen provider-issuer-uri.client. Der NI-Webserver verwendet diese Datei für die Authentifizierung beim Provider.
  7. Nachfolgend sehen Sie ein Beispiel für die ausgefüllte .client-Datei. 
    {
  "client_id": "slserver",
  "client_secret": "4vFm89u07xaredactedredactedredactede2tjtsEGQhlLreLVjcyLA0"
}
    Werte für client_id und client_secret erhalten Sie von Ihrem Provider. Je nach Provider kann client_id benutzerdefiniert sein.
  8. Speichern und schließen Sie die Datei.
  9. Erstellen Sie mit Hilfe des folgenden Curl-Befehls die provider-issuer-uri.provider Datei. Darin wird SystemLink darüber informiert, welche Endpunkte der Provider für die Anmeldung verfügbar macht.
    curl https://provider-issuer-uri/.well-known/openid-configuration -o provider-issuer-uri.provider

    wobei

    • provider-issuer-URI der URL-kodierte vollständig qualifizierte Domain-Name Ihres Providers ist, den Sie sich zuvor notiert haben.
  10. Speichern Sie die resultierende *.provider-Datei unter C:\Program Files\National Instruments\Shared\Web Server\conf\openidc.
  11. Wenn Sie mehrere OpenID-Connect-Provider haben, erstellen Sie .conf-, .client- und .provider-Dateien für jeden Provider. Die Benutzer-ID in SystemLink muss bei Providern eindeutig sein. Diese ID verwendet das Format [sub_claim]@issuer. Sie können die ID, die SystemLink mit einem Benutzer verknüpft, in den Benutzerdetails in der SystemLink-Zugriffskontrolle einsehen.
  12. Wenn Sie einen Proxy benötigen, erstellen Sie eine Datei mit dem Namen 60_openidc_proxy.conf unter C:\Program Files\National Instruments\Shared\Web Server\conf\conf.d und verwenden Sie das folgende Beispiel, um host und port durch die Adresse des Proxy zu ersetzen. 
    <IfDefine AUTH_OIDC_ENABLED>
    OIDCOutgoingProxy host:port
</IfDefine>
  13. Starten Sie den NI-Webserver neu, um die Änderungen zu übernehmen.