Аутентификация через mail.ru в OpenAM
Mail.ru - один из самых популярных сервисов электронной почты в России. Ежемесячная аудитория составляет более 50 млн пользователей. Поэтому ваши пользователи могут использовать свои учетные данные в mail.ru для аутентификации через OpenAM.
У вас должен быть зарегистрированный почтовый ящик на mail.ru
- Перейдите по ссылке управления приложениями https://o2.mail.ru/app/.
- Нажмите кнопку “Создать приложение”
- Укажите имя приложения
- При, желании вы можете загрузить изображение вашего приложения
- redirect_uri должен быть в формате
<URI OpenAM>/oauth2c/OAuthProxy.jsp, например,http://openam.example.org:8080/openam/oauth2c/OAuthProxy.jsp - Нажмите кнопку “Подключить сайт”
- На странице редактирования приложения вы увидите Client Id и Client Secret. Они понадобятся вам при настройке OpenAM.
- Убедитесь, что в разделе “Платформы” установлен чекбокс “Web”.
Как запустить OpenAM написано тут.
Откройте консоль администратора OpenAM по ссылке http://openam.example.org:8080/openam/XUI. В поле логин введите значение amadmin в поле пароль введите значение пароля, заданное в процессе установки OpenAM. В данном случае - passw0rd.
В основном меню перейдите Top Level Realm.
В меню слева перейдите Authentication → Modules и создайте новый модуль аутентификации mailru. Тип модуля - OAuth 2.0 / OpenID Connect.
Заполните настройки модуля, согласно таблице:
| Настройка | Значение |
|---|---|
| Client Id | Client ID приложения mail.ru |
| Client Secret | Client Secret приложения mail.ru |
| Authentication Endpoint URL | https://oauth.mail.ru/login |
| Access Token Endpoint URL | https://oauth.mail.ru/token |
| User Profile Service URL | https://oauth.mail.ru/userinfo |
| Scope | |
| OAuth2 Access Token Profile Service Parameter name | access_token |
| Proxy URL | Redirect URI, который был указан при создании приложения. http://openam.example.org:8080/openam/oauth2c/OAuthProxy.jsp |
| Account Mapper Configuration | id=uid email=mail |
| Attribute Mapper Configuration | id=uid email=mail last_name=sn first_name=givenName |
| OpenID Connect validation configuration type | client_secret |
| Prompt for password setting and activation code | false |
Нажмите кнопку Save
Создайте цепочку аутентификации mailru . В консоли администратора откройте Top Level Realm. В меню слева перейдите Authentication → Chains и создайте новую цепочку аутентификации.
Выйдите из консоли администратора или откройте браузер в режиме “Инкогнито” и откройте ссылку http://openam.example.org:8080/openam/XUI/?service=mailru
Вас перенаправит в форму аутентификации mail.ru, а после - запрос на доступ к данным.
После согласия, вы будете перенаправлены обратно в OpenAM с учетными данными пользователя mail.ru.
Контроль доступа: аутентификация, авторизация, single-sign-on, федерация.
Предоставляет возможность подключения Web сайтов и мобильных приложений к единой точке аутентификации, авторизации и SSO (цифровой паспорт - единая точка входа в сервисы компании). Федерация путем безопасного входа через сайт Госуслуг РФ, облачных провайдеров, а также с помощью аккаунтов социальных сетей и партнеров b2b.
Поддерживает открытые стандарты аутентификации, федерации и защиты веб сервисов: CDSSO, SAML,OpenID Connect, Web Services Security.
Интегрируется с внутренними каталогами компании Active Directory, LDAP, поддерживает NTLMv2, Kerberos, x509 аутентификацию.
Эволюция: Sun Access Manager, Oracle OpenSSO, Forgerock/Open Identity Platform OpenAM