Добавление нового провайдера OAuth-авторизации

'redirect_uri' - URL или список из нескольких URL, на которые разрешены перенаправления после успешно проведенной авторизации. Следует указать "https://<URL_DOMAIN>/oauth/receiver", либо просто "https://<URL_DOMAIN>". Обратите внимание, что не все провайдеры разрешают перенаправления на нешифрованный http, но некоторые позволяют. В качестве URL_DOMAIN необходимо указать то DNS имя или адрес, по которому в систему попадают все без исключения пользователи. Это может быть как публичное имя, так и имя, известное внутри-сетевому DNS. При этом в сущность провайдера авторизации URL надо указать "https://<URL_DOMAIN>/oauth/receiver". Обязательно, чтобы хотя бы один из переданных на регистрацию URL совпадал или был префиксом от этого.

'scope' - требуемый объем информации о пользователе. Необходимо выяснить предоставляемый сервером авторизации состав параметров, и выбрать тот перечень, что соответствуют самой минимальной авторизации. Каждый провайдер авторизации имеет уникальный состав опций. Выбрав необходимые значения, следует задать их также в сущности провайдера авторизации. Например для Яндекс.ID это:

Главное при выборе скоупа, чтобы сервисом авторизации предоставлялся уникальный логин. По логину коммуникационная система связывает авторизацию с собственной учетной записью пользователя или вовсе может создать этого пользователя. Если явного поля логина нет, значит его предстоит состряпать уникальным образом из того, что предоставляется. Для этого необходимо будет создать и использовать служебный сценарий авторизации по токену, установленный в параметрах мастер-домена (iam_token_svcscript_code), а в нем из предоставленной сервером авторизации информации выбрать значения и сформировать уникальный логин, присвоить его переменной сценария "login".

Если доменов много и сервер авторизации различает доменную ориентацию в рамках коммуникационной платформы, то необходимо чтобы возвращались либо имя домена, либо какой-то иной параметр, по которому можно однозначно определить домен коммуникационной платформы, к которому этот пользователь привязан. Если нет, то в сущности провайдера авторизации надо указать свойство 'default_domain'. Неявное определение домена также предстоит производить в служебном сценарии авторизации по токену (iam_token_svcscript_code), присвоить его переменной сценария "domain".

Из нестандартных опций запроса может понадобиться указать, чтобы access_token передавался в формате JWT. Некоторые провайдеры делают это по умолчанию, а некоторые только по опции.

После регистрации приложения на сервере авторизации им предоставляются значения client_id и client_secret. Их следует внести в сущность провайдера авторизации:

Далее в сущности провайдера авторизации следует задать, какие поля в ответе рест-сервера системы авторизации соответствуют во-первых логину пользователя, во-вторых имени пользователя, в-третьих домену, и в четвертых прочим полям (емайлу, и т.д.). Некоторые другие значения также могут примениться и попасть в сущность пользователя (при создании или апдейте его учетной записи). Например для Яндекс.ID в сущности провайдера авторизации заданы:

Получив ответ рест-сервера в соответствии с указанными правилами (поля 'query_*') будет парситься и сопоставляться соответствующее значение. Результаты попадают в сущность запроса на авторизацию, а оттуда либо напрямую в механизм сопоставления, либо в служебный сценарий авторизации по токену, где могут быть еще дополнительно преобразованы.

Также в сущности провайдера следует указать базовые параметры (их описание доступно в справке https://vendor.era-platform.ru/docs/era/latest/api/rest/v1/model/endpoints/oauth/providers.html). Например, для Яндекс.ID это:

Иконку ya.png следует вручную разместить в каталоге ':SYNC/common/www/.well-known/oauth/icons' и указать путь к ней в свойстве 'icon_uri'.

Прочие свойства сущности рассматриваются дальше в контексте многошагового процесса авторизации.

При наличии включенных провайдеров авторизации в форме логина появляются соответствующие кнопки. Пользователь может выбрать стандартную авторизацию или пройти через внешнего провайдера авторизации. Если необходимо всех пользователей направить на внешнего провайдера авторизации, то следует заблокировать возможность авторизации напраямую через логин-пароль. Это можно сделать, например, активировав сценарий внешней авторизации в мастер-домене (iam_general_svcscript_code), в котором присвоить в переменную "result" значение 0 (авторизация запрещена).

Сначала согласно процедуре при клике на кнопке внешней авторизации производится переадресация на сервер авторизации, заданный в 'uri_authorize'. Для Яндекс.ID это:

При переадресации на сервер авторизации в URL подставляются и передаются следующие стандартные OAuth параметры:

В параметры подставляется response_type = code - константа, определяющая стандартный путь: сервер авторизации сгенерирует код и передаст его дополнительным параметром во время дальнейшей переадресации, а по коду уже будет получен токен.

Параметр 'state' из URL переадресации генерируется платформой под конкретный запрос внешней авторизации и служит для сопоставления разных частей процесса при переадресациях. При этом в зависимости от параметра 'state_mode' из сущности, параметр 'state' из URL может подставиться либо просто как еще один параметр, либо быть включен как параметр именно в redirect_uri. Это зависит от того, производит ли сервер авторизации автоматический проброс параметра 'state' при перенаправлении или нет, а также позволяет ли он указывать 'redirect_uri' с расширением относительно заданного при регистрации, либо требует строгого их соответствия. Например, для Яндекс.ID:

При необходимости следует задать дополнительные параметры для кастомизации конкретного провайдера авторизации. Они подставятся в URL перенаправления без изменений. Например, для Яндекс.ID:

На этом шаге управление процессом авторизации передается серверу авторизации, а в коллекции /rest/v1/model/oauth/Requests добавляется сущность запроса в состоянии 'initial'.

Веб-страница пользователя отображает окно авторизации подключенного сервера OAuth, где пользователю предлагается ввести логин и пароль и, возможно, согласиться с предоставлением приложению определенных сведений о пользователе (тот самый scope). В случае успеха сервер авторизации производит обратное перенаправление на страницу приложения, указанную в 'redirect_uri'.

Если пользователь ранее уже авторизовывался и у него еще активна сессия на сервере авторизации, то этот шаг протекает незаметно, и сервер авторизации сразу производит обратное перенаправление.

Управление передается обратно на страницу по указанному выше 'redirect_uri'.

Соответственно, веб-страница пользователя снова обращается к веб-серверу коммуникационной платформы (это /oauth/receiver). Веб-сервер, обрабатывая полученное обращение с переданным параметром 'state' (идентификатор конкретного запроса авторизации в коммуникационной платформе) и 'code' (идентификатор сессии авторизации на сервере авторизации), обращается на сервер авторизации за токеном доступа и передает среди параметров POST-запроса значение 'client_secret'.

Поскольку это server-side request, протоколом OAuth исключается возможность перехвата client_secret снаружи конкретным пользователем. (Кстати, в этом месте в ЕСИА добавлено дополнительное усложнение, используются ГОСТ-сертификаты, специальным образом формируются параметры)

Обращение к серверу авторизации за токеном доступа производится на адрес, указанный в свойстве 'uri_token'. например, для Яндекс.ID это:

POST-запрос осуществляется с передачей следующих параметров

В параметры подставляется grant_type = authorization_code - константа, это стандартный механизм (и платформа в текущей версии поддерживает только его).

Сервер авторизации в случае успеха возвращает 200 и в теле ответа JSON с токеном доступа.

Веб-сервер коммуникационной платформы совершает GET-запрос к REST-серверу системы авторизации, подставляет туда заголовок

Запрос производится по адресу, указанному в свойстве 'uri_info':

Ответ приходит в формате JWT. Если веб-сервер коммуникационной платформы фиксирует сбой проверки хеша (в лог-журнале: "Invalid JWT signature"), то в сущность провайдера можно задать свойство 'verify_hash' и отключить верификацию JWT-хеша:

Веб-сервер коммуникационной платформы распаковывает JWT, в соответствии с правилами 'query_*' производит разбор целевых значений. В случае успеха изменяет состояние ('authorized') и состав запроса авторизации, наполняя его разобранным содержимым полученного ответа.

На этом сеанс взаимодействия с сервером авторизации завершается. Далее происходит уже привязка к учетной записи пользователя и создание сессии в коммуникационной платформе.

Веб-страница пользователя перенаправляется на /oauth/enter/<RequestId>.

Свойства 'login_mode', 'register_user_enabled', 'update_user_enabled' определяют способ связывания ответа сервера авторизации с учетной записью пользователя системы.

Значение login_mode=auto использует указанный 'default_domain' (или явно выданный сервером авторизации домен и разобранный с помощью 'query_domain'), ищет по соответствию выданного сервером авторизации значения 'login' в этом домене (разобраного с помощью 'query_login'), и создает сессию веб-сервера.

Значение login_mode=script использует сценарий авторизации по токену (берется из свойства iam_svcscript_code или, если там пусто из параметра мастер-домена 'iam_token_svcscript_code'). В качестве первого параметра передается идентификатор запроса авторизации, вторым параметром JSON-представление сущности запроса авторизации, третьим параметром JSON-представление сущности провайдера авторизации, четвертым параметром IP-адрес и порт клиента. Для успешного связывания и авторизации сценарий присваивает значение 1 переменной "result", а переменным "login" и "domain" присваивает соответствующие значения, по которым далее система может найти учетную запись пользователя. При необходимости такая учетная запись должна быть создана в ходе выполнения сценария. Логин и домен могут также формироваться произвольным образом на основании сведений о пользователе, предоставленных сервером авторизации и сохраненных в запросе на авторизацию (второй параметр сценария).

В результате на переадресованный запрос отправляется ответ - главная страница с приложениями, в который устанавливается сессионная cookie. Все дальнейшие запросы осуществляются веб-страницей с передачей сессионной cookie.