Авторизация через OpenID Connect

inSales позволяет подключить авторизацию через сервис, который поддерживает протокол OpenID Connect. Для подключения данного способа авторизации необходимы услуги разработчика для установки OpenID провайдера на сервер.

OpenID Connect (OIDC) — это современный протокол аутентификации на основе OAuth 2.0, позволяющий пользователям входить в систему inSales, используя внешний провайдер идентификации (например, корпоративный SSO или индивидуальное решение).

Подробнее о протоколе

Для успешной интеграции используемый OIDC-провайдер должен поддерживать стандартные endpoints и соответствовать нижеуказанным требованиям.

1. Обязательные endpoints
2. Требования к ID Token
3. Подключение к inSales
4. Пример реализации
5. Тестирование
6. Возможные ошибки

Обязательные endpoints

Требования к ID Token

ID Token должен быть подписан алгоритмом RS256 (inSales не поддерживает alg: "none").

Обязательные claims

Опциональные claims

Подключение к inSales

1. Создание OAuth-приложения
2. Заполнение параметров приложения
3. Создание Redirect URI

Создание OAuth-приложения

1. Войдите в панель администратора inSales и перейдите в раздел Настройки → Авторизация и регистрация.

2. В блоке приложений для авторизации через соцсети выберите "Авторизация через OpenID Connect" и нажмите "Добавить":

Заполнение параметров приложения

Откроется окно с полями приложения:

Заполните по аналогии с примерами в таблице:

Создание Redirect URI

inSales будет использовать шаблон для callback URL:

https://SHOP_DOMAIN/o_auth_apps/OAUTH_APP_ID/open_id, где:

SHOP_DOMAIN - домен магазина (например, myperfectdomain.ru)
OAUTH_APP_ID - ID приложения из inSales

Пример реализации

Discovery Endpoint Response

{
   "issuer": "https://your-domain.com",
   "authorization_endpoint": "https://your-domain.com/auth",
   "token_endpoint": "https://your-domain.com/token",
   "jwks_uri": "https://your-domain.com/.well-known/jwks.json",
   "response_types_supported": ["code"],
   "subject_types_supported": ["public"],
   "id_token_signing_alg_values_supported": ["RS256"],
   "scopes_supported": ["openid", "profile", "email"],
   "claims_supported": ["sub", "iss", "aud", "exp", "iat", "nonce", "email", "name", "picture"]
}

Token Endpoint Response

{
   "access_token": "eyJhbGciOiJSUzI1NiIs...",
   "token_type": "Bearer",
   "expires_in": 3600,
   "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...",
   "scope": "openid profile email"
}

Тестирование

Инструменты для отладки:

• JWT.io - для декодирования и проверки JWT токенов
• Postman - для тестирования endpoints
• OpenID Connect Debugger - для полного тестирования flow

Проверочный список:

• Discovery endpoint возвращает корректные метаданные
• Authorization endpoint принимает все обязательные параметры
• Token endpoint возвращает подписанные JWT токены
• JWKS endpoint предоставляет корректные RSA ключи
• ID Token содержит все обязательные claims
• Nonce из authorization request совпадает с nonce в ID token
• Подпись JWT проверяется через JWKS

Возможные ошибки

JSON::JWS::UnexpectedAlgorithm

Причина: InSales получил ID Token с alg: "none"

Решение: Использовать алгоритм RS256 для подписи JWT

Invalid nonce

Причина: Nonce в ID Token не совпадает с nonce из authorization request

Решение: Сохранять nonce из authorization request и использовать его в ID Token

Invalid signature

Причина: JWKS endpoint возвращает некорректные RSA компоненты

Решение: Проверить правильность извлечения и кодирования RSA ключей

При возникновении вопросов по интеграции создайте обращение в техническую поддержку inSales и укажите:

• ID OAuth приложения
• Логи OIDC провайдера
• Примеры запросов и ответов