Oktober 2017
Autor:in des Beitrags
Provectrone
Mitarbeiter
Veröffentlicht am
25.10.2017 von Provectrone
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
mit OpenID Connect und Google

Simples Publishing einer Webanwendung

So kann ein simples Publishing einer Webanwendung mit OpenID Connect und Google (als Authorization Server) aussehen. Das wurde zwar schon dutzendfach beschrieben, aber hier kurz Step-By-Step und so einfach wie möglich gehalten. Das Beispiel hat man in unter einer Stunde komplett durch, verspricht uns Maximilian Leimgruber, der dieses Tutorial erarbeitete.
OpenID Connect baut auf dem OAuth 2.0-Protokoll auf, welches Mechanismen zum Beziehen und Verwenden von Token für den Zugriff auf geschützte Ressourcen verwendet. Es ist primär gedacht für auf Server gehostete Webanwendungen, auf die mit einem Browser zugegriffen wird.

1.) Hintergründe und Links

– http://openid.net/connect/
– http://wiki.openid.net/w/file/fetch/80030063/OpenID_Connect_Overview_May_5_2014.pdf
– https://developers.google.com/identity/protocols/OpenIDConnect
– https://www.citrix.com/blogs/2015/09/11/openid-connectoauth-2-0-integration-with-xenapp-through-unified-gateway/

2.) Google Developer Account erstellen

– Diesen kann man ein Jahr lang kostenlos nutzen, muss aber seine Kreditkarte hinterlegen.

3. Auf Google im ApiManager einen neuen Account erstellen

– Dazu auf https://console.developers.google.com/apis/credentials gehen, mit Dev Account anmelden und auf “Anmeldedaten erstellen” klicken.

– Unter JS Quellen die URI eingeben und unter Weiterleitungs URIs das gleiche mit dem Pfad /oauth/login

– Das liefert euch die benötigte Client ID und den Client Schlüssel (merken!)

4.) NetScaler-Konfiguration

– Dafür sorgen, dass der NetScaler Google erreichen kann (FW, Routing)!
– Extern erreichbaren Content Switch vServer anlegen (DNS, IP, Zertifikat, FW,…)
– CS Policy anlegen, die auf LB vServer zeigt, der wiederum den Webserver als Service gebunden hat (FW!)
– AAA vServer anlegen (benötigt keine externe IP und kein DNS,…)
– Auf Load Balancer Authentication aktivieren (der Authentication Host kann ein Dummy sein; muss nicht erreichbar sein)
add lb vserver lb_vs_web_red_app01 HTTP 0.0.0.0 0 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth.test -Authentication ON -authnVsName aaa_vs_oidc_test
– OAuth / OpenID Connect Authentication Policy anlegen und auf vServer binden

– Genauer:
– Client ID: Von Google kopiert. Siehe 2.)
– Client Secret:. Siehe 2.)
– Authorization Endpoint: https://accounts.google.com/o/oauth2/auth?client_id=DEINECLIENTID&response_type=code&scope=openid%20email
– Token Endpoint: https://accounts.google.com/o/oauth2/token
– ID Token Decryption Endpoint: https://www.googleapis.com/oauth2/v1/tokeninfo

add authentication OAuthAction oauthTest -authorizationEndpoint "https://accounts.google.com/o/oauth2/auth?client_id=XXXXXXXXXXX-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.apps.googleusercontent.com&response_type=code&scope=openid%20email" -tokenEndpoint "https://accounts.google.com/o/oauth2/token" -idtokenDecryptEndpoint "https://www.googleapis.com/oauth2/v1/tokeninfo" -clientID XXXXXXXXXXX-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.apps.googleusercontent.com -clientSecret XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX -encrypted -encryptmethod ENCMTHD_3

 

5.) Testen

– https://app01.workplace.provectus-lab.de/ aufrufen
– Man wird weitergeleitet an Google
– Dort kann man sich mit jedem beliebigen (hier Trashmail Account; nicht der meines Dev) anmelden

– Und schwupps ist man auf der Website! (wenn man kein SSO braucht; ansonsten kann man das oidc Spiel natürlich auch ein zweites Mal spielen; also zwischen webapp und google und den gleichen security Kontext verwenden)

Das könnte dich auch interessieren

Blogbeitrag

Citrix Long-Term Service Release 2402, jetzt mit CU1 Bug-Fix

In diesem Blog erfahren Sie, welche Mehrwerte das Citrix LTSR 2402 mitbringt und welcher Bug mit CU1 gefixt wurde.
Weiterlesen
Blogbeitrag

Änderungen bei der Lizenzüberwachung und Telemetrie von NetScaler und NetScaler-Console

Im letzten Jahr hat die Cloud Software Group im Bereich von Citrix die Erfassung von Telemetriedaten eingeführt. Ähnliches folgt nun auch im Bereich der NetScaler. Wär erklären, was jetzt zu tun ist!
Weiterlesen
Webinar

Webinar: Muss es denn immer gleich KI sein?

Kostenloses Webinar für IT-Entscheider*innen: Steigerung der Effizienz, Produktivität und Mitarbeiterzufriedenheit, im Spannungsfeld zwischen New Work, KI und Prozessautomatisierung.
Weiterlesen
Blogbeitrag

Wie Sie mit einem geregelten Prozess für Evergreening die Vorteile von Microsoft 365 optimal nutzen können

Wir zeigen, wie Sie mit Evergrenning Änderungen in Microsoft 365 optimal für Ihr Unternehmen nutzen können.
Weiterlesen
Blogbeitrag

Datenexfiltration in M365 mit Entra ID Conditional Access blockieren

In diesem Artikel taucht unser Experte in die Funktionen aus Conditional Access ein: “app enforced restrictions” und „Conditional Access App Control“ (CAAC).
Weiterlesen
Blogbeitrag

M365 Compliance Whitepaper

In unserem Whitepaper nehmen wir die Bereiche Datenschutz und Compliance unter die Lupe und geben Ihnen wertvolle Handlungsempfehlungen.
Weiterlesen
Blogbeitrag

Microsoft Power Platform – ja oder nein?

Erfahren Sie, wie Sie die Vorteile und Risiken der Microsoft Power Platform abwägen und die beste Lösung für Ihre Anforderungen finden.
Weiterlesen
Whitepaper

M365 Compliance Quick-Assessment

Mit unserem Quick Assessment können Sie einige der typischen Fallstricke zu beleuchten im Themenkomplex „Compliance und Datenschutz und M365″.
Weiterlesen
Blogbeitrag

NetScaler WAF für Citrix Gateway und IP Reputation

Wir zeigen Ihnen zwei Features, die für viele NetScaler Deployments einen Mehrwert hinsichtlich Security bieten.
Weiterlesen
Webinar

Webinar: Neue Lizenzmodelle bei Citrix

Im Webinar informieren Sie unsere Experten über die aktuellen Lizenzänderungen bei Citrix und NetScaler.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter