OpenIDConnect Authentication Memo

‣

Table of contents

‣

history changes

1. Preamble

OpenIDConnect is a simple identification layer based on OAuth2.0 (itself an identification device).

🚦

You need an Identity Provider. In the following document, IDP refers to your Identity Provider (e.g. Azure AD / Keycloak).

Note 1

Données attendues par Virage Group :

Customer identification (clientId)
Redirect URL

Donnée fournie par Virage Group :

Callback URL

Note 2

In version 6.5.2, automatic account provisioning from the identity provider is not available. It will be available in version 6.5.3.

On the other hand, the correspondence between the identifier in Project Monitor and in the identity provider must be identical (see end of document). This may require the reworking of data on the implementations Project Monitor existing.

Note 3

Le module OIDC doit être complétement déployé sur le serveur d’application. La procédure d’installation est décrite dans le Dossier d’Exploitation

2. Configuration with KeyCloak

Dans le fichier monitormaker.properties : configurer la stratégie d’authentification : OpenIdConnectAuthenticator

com.vc.mm.authenticator= com.vc.mm.modules.user.OpenIdConnectAuthenticator

🚩

Voir le Dossier d’exploitation pour plus d’informations sur les stratégies d’authentification disponibles.

Log in to the Project Monitor

Click on Administration > Paramétrages avancés > Configuration technique >Authentification OpenIdConnect.

Copier dans le presse-papier la valeur de la propriété URL de retour – Callback

Log in to the Keycloak administration interface

Create a new OpenIDConnect client, specific to the application Project Monitor

Enter an identifier for this new client. The openid-connect protocol must be selected:

In the configuration screen of the newly created client :

Sélectionner le choix public pour la propriété Access Type.
Valoriser la propriété Valid Redirect URIs avec la valeur extraite depuis Project Monitor (Return URL - callback)
Save the information you have entered

Se rendre sur l’écran Realm Settings
Copier dans le presse-papier l’URL du lien Open ID Endpoint Configuration :

Go to the OpenIdConnect configuration screen in Project Monitor :

Saisir dans le champ Client ID le nom du client nouvellement déclaré à l’étape précédente.
Coller dans le champ URL des métadonnées l’URL copié à l’étape précédente
Click on Save.

Mapping between users defined in Project Monitor and in Keycloak :

For identification to work, it is necessary to ensure that the identifier defined in Project Monitor and Keycloak is identical.

The user ID is available in the user details screen under Keycloak :

Cet identifiant correspond à la propriété sub contenue dans le token OpenIDConnect

3. Configuration with AzureAD

Log in to the Project Monitor

Click on Administration > Paramétrages avancés > Configuration technique >Authentification OpenIdConnect.

Copier dans le presse-papier la valeur de la propriété URL de retour – Callback

Se connecter à l’interface d’administration AzureAD :

Paste the callback url here:

Dans l’écran de détail de l’application, cliquer sur le bouton Points de terminaison
Copier l’url Document sur les métadonnées Open ID Connect
Copier également la valeur de ID Application (client)

Go to the OpenIdConnect configuration screen in Project Monitor :

Saisir dans le champ « Client ID » le nom du client nouvellement déclaré à l’étape précédente
Coller dans le champ URL des métadonnées l’URL copié à l’étape précédente.
Save changes.

Se connecter à l’interface d’administration AzureAD :

Créer un secret (la notion de Secret est obligatoire sous Azure AD).
Copier la valeur du secret dans le presse-papier et la reporter dans l’interface de configuration de Project Monitor

4. Test configuration

Create your users in Project Monitor if you haven't already
Create your users in your IDP if you haven't already done so
Connect to the application to validate the configuration

5. Automatic account creation

With the OpenIDConnect feature, a user's account can be automatically created on first login.

The following information is stored during creation:

Identifier
Name
First name
Email

Pour activer cette option, le champ Créer automatiquement les comptes utilisateurs manquants à la connexion doit être coché :

At the time of creation, the user has no rights or role on the application. It is up to the functional administrator to associate the user's roles afterwards.

6. Modification of login ID (Keycloak only)

By default, the user ID in Project Monitor is the same as that of the identity repository.

Il s’agit du champ sub.

Although not recommended by the OpenIDConnect protocol, it is possible to change the identifier to something more explicit, such as the user's email address.

Configuration example

7. Login without OpenIdConnect

Some users of Project Monitor are unknown to the IDP (external service provider, consultant). For these users, it is possible to connect to Project Monitor by login and password with url, if local authentication is authorized at user level:

http://maplateforme/nex/login?local=true