OpenProject企业版OpenID Connect身份提供商配置指南
项目地址: https://gitcode.com/gh_mirrors/op/openproject 什么是OpenID Connect?
OpenID Connect(简称OIDC)是基于OAuth 2.0协议的身份认证层,它允许客户端验证用户的身份,并获取基本的用户信息。在企业环境中,OIDC常用于实现单点登录(SSO)功能。
OpenProject中的OpenID Connect支持
OpenProject企业版提供了对多种OpenID Connect提供商的内置支持,包括:
- Google Workspace
- Microsoft Entra ID(原Azure AD)
- 自定义OpenID Connect提供商
配置前的准备工作
在开始配置前,请确保:
- 已安装OpenProject企业版
- 拥有管理员权限
- 了解您的身份提供商的基本信息
Google Workspace配置
第一步:创建OAuth同意屏幕
- 登录Google Cloud控制台
- 导航至"API和服务" > "OAuth同意屏幕"
- 创建或编辑项目和应用,设置以下信息:
- 应用名称(如:公司SSO)
- 用户支持邮箱
- 应用域名
- 授权域名
- 开发者联系信息
第二步:创建OAuth客户端
- 在"API和服务"下选择"凭证"
- 创建OAuth客户端ID
- 应用类型选择"Web应用"
- 设置应用名称
- 添加授权重定向URI(格式为:[您的OpenProject域名]/auth/google/callback)
第三步:在OpenProject中添加Google提供商
- 以管理员身份登录OpenProject
- 导航至"管理" > "认证" > "OpenID提供商"
- 点击"添加OpenID Connect提供商"按钮
- 选择Google选项
- 填写从Google获取的客户端ID和密钥
- 设置显示名称(用户将看到的登录按钮名称)
Microsoft Entra ID配置
第一步:在Azure AD中注册应用
- 登录Microsoft Azure门户
- 导航至Azure Active Directory管理页面
- 选择"应用注册"并创建新注册
- 设置:
- 名称:OpenProject
- 支持的账户类型:仅限此组织目录中的账户
- 重定向URI:[您的OpenProject域名]/auth/oidc-microsoft-entra/callback
第二步:获取客户端凭证
- 在应用注册页面获取应用程序(客户端)ID
- 创建客户端密钥(有效期建议设为24个月)
第三步:在OpenProject中配置
- 在OpenProject管理界面添加新的OpenID Connect提供商
- 选择Microsoft Entra选项
- 填写租户ID、客户端ID和密钥
- 设置显示名称
自定义OpenID Connect提供商配置
对于其他支持OpenID Connect的身份提供商(如Keycloak、Okta等),OpenProject提供了自定义配置选项。
基本配置步骤
- 在OpenProject中选择"自定义"提供商类型
- 设置显示名称
- 提供发现端点URL(如果可用)
- 手动配置以下端点:
- 授权端点
- 用户信息端点
- 令牌端点
- 签发者URL
高级配置选项
- 属性映射:可以将身份提供商返回的用户属性映射到OpenProject用户字段
- 声明请求:可以配置特定的认证要求,如多因素认证
- 注销端点:配置单点注销功能
常见问题排查
- 重定向URI不匹配:确保在身份提供商和OpenProject中配置的重定向URI完全一致
- 证书问题:检查HTTPS证书是否有效
- 范围不足:确保请求了足够的OAuth范围
- 跨域问题:确保所有域名都在身份提供商的白名单中
最佳实践
- 在生产环境使用前,先在测试环境验证配置
- 定期轮换客户端密钥
- 监控登录日志,及时发现异常
- 为用户提供清晰的登录指引
通过以上配置,您的OpenProject实例将能够与各种企业身份提供商集成,实现安全、便捷的单点登录体验。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
