客户端管理

## 管理客户端
客户端是可以请求用户身份验证的实体。客户有两种形式。第一种类型的客户端是想要参与单点登录的应用程序。这些客户只是希望MaxId为他们提供安全保障。另一种类型的客户端请求访问令牌，以便它可以代表经过身份验证的用户调用其他服务。下面是有关配置客户端的各个方面以及执行此操作的各种方法。
### 管理 OpenID Connect 客户端
OpenID Connect是保护应用程序安全的推荐协议。它从一开始就被设计为网络友好型，并且最适合 HTML5/JavaScript 应用程序。
#### 创建 OpenID Connect 客户端
要保护使用 OpenID 连接协议的应用程序，您需要创建一个客户端。
步骤：

1. 单击菜单中的“客户端” 。
 2. 单击创建客户端。
     创建客户端
![](/media/202309/2023-09-19_091714_057208.jpeg)
 3.将客户端类型设置为OpenID Connect。

4.输入客户端 ID。
   此ID是一个字母数字字符串，在OIDC请求和MaxId数据库中用于识别客户端。
 5.为客户端提供一个名称。
 6.单击“保存”。
#### 基本配置
 “**设置**”选项卡包含许多用于配置此客户端的选项。

设置选项卡

![](/media/202309/2023-09-19_092420_996643.jpeg)

##### 常规设置
**客户ID**
  在 OIDC 请求和 MaxId 数据库中用于识别客户端的字母数字 ID 字符串。

**姓名**
 显示在页面中的客户端的名称。

**描述**
  客户端的描述。此设置也可以本地化。

**始终显示在控制台中**
  即使该用户没有活动会话，也始终在帐户控制台中列出该客户端。

##### 访问设置
**根网址**
  如果 MaxId 使用任何配置的相对 URL，则该值会添加到它们前面。

**主页网址**
  当身份验证服务器需要重定向或链接回客户端时提供默认 URL。

**有效的重定向 URI**
  必填项目。输入一个有效的 URL路径 ，然后单击 “+” 添加和 “-”删除现有 URL，然后单击保存。您可以在 URL路径 的末尾使用通配符（/*）.

独占重定向 URL 模式通常更安全。

**网络起源**
  输入 URL 的地址，然后单击 “+” 添加现有 URL路径，单击 “-” 删除现有 URL。单击“保存”。

此选项处理跨域资源共享 (CORS)。如果浏览器 JavaScript 尝试向域与 JavaScript 代码来源域不同的服务器发出 AJAX HTTP 请求，则该请求必须使用 CORS。服务器必须处理 CORS 请求，否则浏览器将不会显示或允许处理请求。该协议可防止 XSS、CSRF 和其他基于 JavaScript 的攻击。

此处列出的域 URL路径 嵌入到发送到客户端应用程序的访问令牌中。客户端应用程序使用此信息来决定是否允许在其上调用 CORS 请求。只有MaxId 客户端适配器支持此功能。

**管理网址**
  客户端的回调端点。服务器使用此 URL路径 进行回调，例如推送撤销策略、执行反向通道注销和其他管理操作。对于MaxId servlet 适配器，此 URL路径 可以是 servlet 应用程序的根 URL路径。有关详细信息，请参阅保护应用程序和服务指南。

##### 能力配置
**客户端认证**
  OIDC 客户端的类型。
  - ON
  适用于执行浏览器登录并在发出访问令牌请求时需要客户端密码的服务器客户端。此设置应用于服务器端应用程序。
  - OFF
  适用于执行浏览器登录的客户端。由于无法确保客户端的机密安全，因此通过配置正确的重定向 URI 来限制访问非常重要。

**授权**
  启用或禁用对此客户端的细粒度授权支持。

**标准流量**
  如果启用，此客户端可以使用 OIDC授权代码流。

**直接访问补助金**
  如果启用，此客户端可以使用 OIDC直接访问授权。

**隐式流程**
  如果启用，此客户端可以使用 OIDC隐式流。

**服务帐户角色**
  如果启用，该客户端可以向 MaxId 进行身份验证并检索专用于该客户端的访问令牌。就 OAuth2 规范而言，这可以支持Client Credentials Grant该客户端。
  Auth 2.0 **设备授权授予**
    如果启用，该客户端可以使用 OIDC设备授权。

OIDC CIBA **补助金**
    如果启用，此客户端可以使用 OIDC客户端发起的反向通道身份验证授予。

#####   登录设置
 **登录主题**
    用于登录、OTP、授权注册和忘记密码页面的主题。

**需要同意**
  如果启用，用户必须同意客户端访问。

适用于执行浏览器登录的客户端客户端。由于无法确保客户端的机密安全，因此通过配置正确的重定向 URI 来限制访问非常重要。

**在屏幕上显示客户端**
   如果“需要同意”设置为“关闭”，则此开关适用。
   - OFF
     同意屏幕将仅包含与配置的客户端范围相对应的同意。
   - ON
     同意屏幕上还会有一项关于该客户本身的项目。

**客户同意屏幕文本**
  如果启用了“需要同意”和“在屏幕上显示客户端”，则适用。包含同意屏幕上有关此客户端权限的文本。

#####   注销设置
  **前端通道注销**
  如果启用前通道注销，则应用程序应该能够根据OpenID Connect 前通道注销规范通过前通道注销用户。如果启用，您还应该提供Front-Channel Logout URL.

**前端通道注销 URL**
    MaxId将使用该 URL 通过前端通道向客户端发送注销请求。

**反向通道注销 URL**
    当注销请求发送到此领域时，将导致客户端自行注销的 URL。如果省略，则不会向客户端发送注销请求。

**需要反向通道注销会话**
    指定当使用反向通道注销 URL路径时，会话 ID 声明是否包含在注销令牌中。

**反向通道注销撤销离线会话**
    指定当使用反向通道注销 URL路径 时，注销令牌中是否包含 revoke_offline_access事件。当收到此事件的注销令牌时，MaxId将撤销离线会话。

#### 高级配置
  完成“设置”选项卡上的字段后，您可以使用其他选项卡执行高级配置。例如，您可以使用“权限”和“角色”选项卡为管理员配置细粒度的身份验证。

**高级选项卡**
单击“**高级**”选项卡时，会显示其他字段。有关特定字段的详细信息，请单击该字段的问号图标。然而，本节详细描述了某些字段。

细粒度 OpenID Connect 配置
**标志网址**
引用客户端应用程序徽标的 URL。

**政策网址**
依赖方客户端向最终用户提供的 URL，用于了解如何使用配置文件数据。

**服务条款网址**
依赖方客户端向最终用户提供的 URL，用于阅读依赖方的服务条款。

**签名和加密的 ID 令牌支持**
MaxId 可以根据Json Web 加密 (JWE)规范对 ID 令牌进行加密。管理员确定是否对每个客户端的 ID 令牌进行加密。

用于加密 ID 令牌的密钥是内容加密密钥 (CEK)。MaxId 和客户端必须协商使用哪个 CEK 以及如何交付它。确定CEK的方法是密钥管理模式。MaxId支持的密钥管理模式是密钥加密。

在密钥加密中：

1. 客户端生成非对称密钥对。
  2. 公钥用于加密 CEK。
  3. MaxId 为每个 ID 令牌生成一个 CEK
  4. MaxId 使用生成的 CEK 加密 ID 令牌
  5. MaxId 使用客户端的公钥对 CEK 进行加密。
  6. 客户端使用其私钥解密此加密的 CEK
  7. 客户端使用解密的 CEK 解密 ID 令牌。

除客户端之外，任何一方都无法解密 ID 令牌。

客户端必须将用于加密 CEK 的公钥传递给 MaxId。MaxId支持从客户端提供的URL下载公钥。客户端必须根据Json Web Keys (JWK)规范提供公钥。

程序是：

1. 打开客户端的“密钥”选项卡。
  2. 将JWKS URL切换为“开”。
  3. 在JWKS URL文本框中输入客户端的公钥 URL 。

密钥加密的算法在Json Web 算法 (JWA)规范中定义。MaxId 支持：

- RSAES-PKCS1-v1_5(RSA1_5)
- 使用默认参数的 RSAES OAEP (RSA-OAEP)
- 使用 SHA-256 和 MFG1 的 RSAES OAEP 256 (RSA-OAEP-256)

选择算法的过程是：
  1. 打开客户端的“高级”选项卡。
  2. 打开细粒度 OpenID Connect 配置。
  3. 从ID 令牌加密内容加密算法下拉菜单中选择算法。

Open ID Connect 兼容模式
此部分的存在是为了向后兼容。单击问号图标以获取每个字段的详细信息。

**启用 OAuth 2.0 相互 TLS 证书绑定访问令牌**

相互 TLS 将访问令牌和刷新令牌与客户端证书绑定在一起，并在 TLS 握手期间交换客户端证书。此绑定可防止攻击者使用被盗的令牌。

这种类型的令牌是密钥持有者令牌。与不记名令牌不同，密钥持有者令牌的接收者可以验证令牌的发送者是否合法。

如果启用此设置，则工作流程为：

1. 令牌请求在授权代码流或混合流中发送到令牌端点。
  2. MaxId 请求客户端证书。
  3. MaxId 接收客户端证书。
  4. MaxId 成功验证客户端证书。

如果验证失败，MaxId 会拒绝该令牌。

在以下情况下，MaxId将验证发送访问令牌或刷新令牌的客户端：

- 令牌刷新请求使用密钥持有者刷新令牌发送到令牌端点。
  - UserInfo 请求使用密钥持有者访问令牌发送到 UserInfo 端点。
  - 注销请求使用密钥持有者刷新令牌发送到注销端点。

#### 使用服务帐户
每个 OIDC 客户端都有一个内置的服务帐户。使用此服务帐户获取访问令牌。

程序
  1. 单击菜单中的“**客户端**” 。
  2. 选择您的客户。
  3. 单击“**设置**”选项卡。
  4. 将客户端身份验证切换为On。
  5. 选择**服务帐户角色**。
  6. 单击“**保存**”。
  7. 配置您的客户端凭据。
  8. 单击**范围**选项卡。
  9. 验证您是否具有角色或将**允许的完整范围**切换为**ON**。
  10. 单击**服务帐户角色**选项卡
  11. 为您的客户端配置此服务帐户可用的角色。

访问令牌的角色是以下各项的交集：

- 客户端的角色范围映射与从链接的客户端范围继承的角色范围映射相结合。
  - 服务帐户角色。