# Налаштування протоколу OIDC (OpenID Connect)

**OpenID** заснований на специфікаціях OAuth 2.0 (IETF RFC 6749 і 6750). Він спрощує спосіб перевірки особи користувачів на основі автентифікації, виконаної сервером авторизації, та отримання інформації про профіль користувача в інтероперабельний і REST-подібний спосіб.

OpenID Connect дає змогу користувачам перевіряти автентичність і отримувати  доступ до вебдодатків за допомогою стороннього постачальника (**IdP**), якому довіряють як користувач, так і вебсайт або застосунок.

В ролі такого **IdP** виступає **Hideez Enterprise Server**, що дозволяє запобігати втраті облікових даних, їх витоку при зберіганні або встановленні, а також допомагає при керуванні паролями.&#x20;

Протокол **OpenID Connect для HIdeez Enterprise Server** в загальних рисах працює наступним Користувач ініціює запит на аутентифікацію:&#x20;

* **Користувач HES** ініціює запит на автентифікацію для доступу до захищеного ресурсу у вебсайті. Запит надсилається **клієнту OIDC**, який є застосунком, що вимагає автентифікації користувача.
* **Клієнт OIDC** відправляє запит на авторизацію до **IdP (HES)**: цей запит містить ідентифікаційні дані клієнта, сферу доступу та URL-адресу перенаправлення, куди користувач буде відправлений після завершення процесу аутентифікації.
* **IdP (HES)** аутентифікує користувача: це включає в себе [Безпарольну автентифікацію](https://enterprise-ua.hideez.com/korporativnii-server-hideez/pages/JF4fkeaXM4OEJqm9uztq#1.-vikoristovuvati-bezparolnu-avtentifikaciyu) або [Двофакторну аутентифікацію (MFA)](https://enterprise-ua.hideez.com/korporativnii-server-hideez/pages/JF4fkeaXM4OEJqm9uztq#2.-vikoristovuvati-dvofaktornu-autentifikaciyu). Щойно користувач аутентифікується, IdP генерує токен доступу і відправляє його назад клієнту OIDC.
* **Клієнт OIDC** перевіряє токен доступу, отриманий від IdP. Це включає в себе перевірку підпису токена, дати закінчення, терміну дії та ін. Це потрібно для того, щоб переконатися, що токен дійсний і не був підроблений.
* **Клієнт OIDC** запитує інформацію про користувача в **IdP (HES)**: Якщо токен доступу дійсний, клієнт OIDC відправляє IdP запит на отримання інформації про користувача. Цей запит включає маркер доступу, а також запит на конкретну інформацію про користувача, таку як його ім'я, адреса електронної пошти та інші атрибути.
* **IdP (HES)** відправляє інформацію про користувача клієнту OIDC. Ця інформація зазвичай представлена у формі вебтокена JSON (JWT), який містить ідентифікаційну інформацію користувача, а також будь-які додаткові твердження, запитані клієнтом OIDC.
* Нарешті, **клієнт OIDC** може аутентифікувати користувача на основі інформації, отриманої від IdP. Якщо користувач успішно пройшов аутентифікацію, йому надається доступ до захищеного ресурсу вебдодатка.

#### Налаштування OIDC на Hideez Enterprise Server&#x20;

1. Відкрийте **Налаштування → Параметри →** розділ **OIDC**

<figure><img src="/files/YLekiK9Za44A6xQ6Tlcq" alt=""><figcaption></figcaption></figure>

2. Натисніть **Увімкнути** OIDC

Для захисту токенів OIDC використовує 2 типи облікових даних:

* Облікові дані для підпису використовуються для захисту від несанкціонованого доступу.
* Облікові дані шифрування використовуються для того, щоб зловмисники не могли прочитати вміст маркерів.

<figure><img src="/files/AlT8Wun6Tj0dRP3tjNzR" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Якщо у вас немає сертифікатів ви можете згенерувати самопідписаний сертифікат шифрування та підпису:

<img src="/files/THwbHHM7Yh3ReBy245pa" alt="" data-size="original">
{% endhint %}

3. Завантажте два типи сертифікатів, введіть паролі та натисніть **Далі**

<figure><img src="/files/nee3gKKbLuQaY1eby8vz" alt=""><figcaption></figcaption></figure>

4. Перезавантажте сервер

<figure><img src="/files/V2sWwBwuuTAsQo2xinsP" alt=""><figcaption></figcaption></figure>

Після перезапуску сервера HES, **OpenID Connect** буде увімкнено

Також ви можете змінити сертифікати для **OpenID Connect**

<figure><img src="/files/5Q4l74BfvAtwKe627DJg" alt=""><figcaption></figcaption></figure>

5. Додати клієнт **OIDC**

<figure><img src="/files/yc9CG1r8FFlmOMOG04xW" alt=""><figcaption></figcaption></figure>

6. Адміністратор HES повинен налаштувати клієнт **OIDC:**

<figure><img src="/files/V86BNTVl1WTQ8J7VeDoi" alt=""><figcaption></figcaption></figure>

Будь ласка, подивіться, як приклад, конфігурацію нашого клієнта **OpenID connect:**

<figure><img src="/files/GCcryG13HP4tjM2uRn1j" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://enterprise-ua.hideez.com/korporativnii-server-hideez/nalashtuvannya-protokolu-oidc-openid-connect.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.