Autenticación On-Prem con OpenID Connect (OAuth 2.0)

    Este documento tiene como objetivo proporcionar instrucciones de configuración sobre cómo configurar proveedores de autenticación personalizados para la instancia on-premises de App Builder utilizando el servidor OpenID Connect que admite el flujo de autorización OAuth 2.0 CODE con PKCE.

    La guía incluye:

    • Configuración de cliente OIDC requerida.
    • Opciones de configuración específicas para App Builder.
    • Opciones adicionales como oidc_scope y oidc_redirect_uri.

    Configuración del cliente OIDC

    • Flujo de OAuth2: Código de autorización + PKCE
    • Tokens de actualización habilitados (ámbito offline_access),
    • Duración del token de acceso: (se sugieren 600 segundos)
    • Duración del token de actualización: ventana deslizante recomendada con un mínimo de 1 hora (se recomiendan 24 horas) y duración máxima determinada por la organización o sin límite).
    • Incluir notificaciones del usuario en el token de identificación (hay dos notificaciones estándar requeridas: "sub" y "email" y dos notificaciones personalizadas opcionales "given_name" y "family_name")
    • Ámbitos requeridos: openid email profile offline_access appbuilder.user
    • Audiencia: "appbuilder" (predeterminado)
    • URI de redirección de inicio de sesión: /oidc/ig/callback
    • URL de cierre de sesión: /oidc/ig/callback-postlogout

    Configuración para App Builder

    Opciones de configuración requeridas

    • AuthSettings__SkipAuth: false
    • AuthSettings__Authority: URL del servidor OpenId
    • AuthSettings__ClientId: Id del cliente OpenId
    • AuthSettings__AccountIssuer: Alias único del servidor

    Otras opciones

    • oidc_scope: 'openid email offline_access profile appbuilder.user' (predeterminado)
    • oidc_redirect_uri: '/oidc/ig/callback', (predeterminado)
    • oidc_post_logout_redirect_uri: /oidc/ig/callback-postlogout' (predeterminado)
    • AuthSettings:Audience: "appbuilder" (predeterminado)
    Note

    Para usar la autenticación OIDC, debe establecer la configuración FrontendOptions_SkipAuth en false.

    Después de configurar el cliente OIDC, deberá pasar 3 propiedades requeridas al contenedor de Docker de App Builder como variables de entorno:

    p. ej.

    docker run --restart always -p 80:5000 -e ConnectionStrings__Provider=SqlServer -e "ConnectionStrings:...." -e AuthSettings__SkipAuth=false -e AuthSettings__Authority="https://my-auth-server.example.com" -e AuthSettings__ClientId="1234-4657-00" -e AuthSettings__AccountIssuer="MyAuth" -v "C:\ProgramData\Infragistics\Appbuilder\logs:/appbuilder/logs" -v "C:\ProgramData\Infragistics\Appbuilder\storage:/appbuilder/storage" --name appbuilder appbuilder:1.0
    

    Recursos adicionales