🔍
OpenID Connect Server

OpenID Connect Server

Плагин от Automattic, превращающий WordPress в сервер аутентификации OpenID Connect (OIDC) для реализации единого входа (SSO) на внешних сервисах.

Категория:

OpenID Connect Server — это плагин для WordPress от компании Automattic, который превращает ваш сайт в полноценный сервер аутентификации (Identity Provider) по протоколу OpenID Connect, обеспечивая возможность единого входа (SSO) для пользователей в сторонних веб-приложениях и сервисах.

Сценарии использования

  • Единый вход (SSO) для нескольких приложений — WordPress выступает центральным IdP: пользователи входят один раз и автоматически получают доступ к корпоративным и SaaS-приложениям.
  • Корпоративная федерация идентификаций — компании используют собственную инфраструктуру WordPress для аутентификации сотрудников и централизованного управления учётными записями.
  • Интеграция с внутренними системами — подключение внутренних корпоративных приложений к единой точке авторизации на базе WordPress.
  • Разработка и тестирование OIDC-интеграций — создание локального тестового окружения для разработки приложений с поддержкой OpenID Connect без привлечения сторонних провайдеров.

Составляющие и особенности

  • Authorization Code Flow — реализован основной и наиболее безопасный поток авторизации OAuth 2.0 / OpenID Connect.
  • RSA-криптография — токены подписываются асимметричным ключом RSA; ключи задаются через PHP-константы в wp-config.php или загружаются из файлов вне web-root.
  • Регистрация клиентов через фильтр — OIDC-клиенты настраиваются программно через фильтр oidc_registered_clients без графического интерфейса.
  • Стандартные endpoint — поддерживаются Authorization Endpoint, Token Endpoint и UserInfo Endpoint (/wp-json/openid-connect/userinfo).
  • JWT ID-токены и Access-токены — плагин выпускает токены с информацией о пользователе, совместимые со стандартом OIDC.
  • Кастомизация claims — состав передаваемых данных о пользователе настраивается через фильтр oidc_user_claims.
  • Опция skip_consent — возможность пропустить экран подтверждения авторизации для доверенных клиентов (добавлено в версии 2.0.0).
  • Автоматическое исключение из кэша — UserInfo endpoint автоматически защищён от кэширования через заголовки Cache-Control и константу DONOTCACHEPAGE.
  • Site Health проверки — встроенная диагностика корректности RSA-ключей и конфигурации плагина.
  • Отсутствие графического интерфейса — вся настройка выполняется через PHP-код, что требует знания протокола OIDC и навыков разработки.
  • Открытый исходный код, лицензия GPLv2 — разработан и поддерживается компанией Automattic.

Похожие