Коллекции категории oauth
Обзор
Используются в процессе авторизации/идентификации OAuth 2.0 и OpenId Connect 1.0 (механизм Authorization Code Grant).
Обслуживаются микросервисом ws.
Трехэтапный процесс внешней авторизации OAuth 2.0 и идентификации OpenId Connect 1.0 с последующим связыванием с локальной учетной записью пользователя в одном из локальных доменов системы предполагает:
-
регистрацию системы на внешнем провайдере OAuth-авторизации;
-
наличие настроенного и включенного провайдера OAuth-авторизации (сущность коллекции 'oauth/Providers');
-
настроенного и зарегистрированного в мастер домене сценария авторизации по токену ('iam_token_svcscript_code').
В корневом клиентском веб-приложении отображаются кнопки альтернативной внешней авторизации по всем включенным провайдерам OAuth-авторизации, перечисленным в коллекции 'oauth/Providers').
При нажатии на такую кнопку в соответствии с протоколом OAuth 2.0 и OpenId Connect 1.0 производится цепочка последовательных перенаправлений между системой и сервером внешней авторизации. Дальнейший процесс соответствует протоколу OAuth и в общих чертах выглядит так:
-
LOCAL: '/oauth/redirect/<KEY>' - производит поиск провайдера, создание запроса на авторизацию, перенаправляет на внешний сервер авторизации.
-
EXT: '/authorize' - внешний сервис авторизации предоставляет пользователю возможность ввести свои учетные данные и разрешить доступ из коммуникационной системы.
-
LOCAL: '/oauth/receiver' - обработчик обратного перенаправления, получает код, обменивает на токен, получает учетные данные с внешнего сервера данных.
-
LOCAL: '/oauth/enter' - исполняет сценарий связывания идентификатора авторизованного на внешнем сервере запроса с локальной учетной записью пользователя, создает сессию.
-
LOCAL: '/app-root' - открывается в авторизованном состоянии и отображает пользователю список доступных приложений.
Endpoints
-
oauth/Providers - провайдеры OAuth-авторизации.
-
oauth/Requests - запросы на OAuth-авторизацию.