Google restringir las cuentas de acceso a un dominio especificado Aplicaciones

StackOverflow https://stackoverflow.com/questions/3669397

  •  01-10-2019
  •  | 
  •  

Pregunta

¿Cómo se puede permitir que los usuarios accedan a mi aplicación web con su cuenta de Google y verificar que se registran en un determinado dominio de Google Apps?

¿El hd parámetro al servicio de autorización de Google a garantizar que sólo el dominio seleccionado se puede utilizar para acceso?

O puedo conseguir que ha iniciado sesión en el correo electrónico del usuario y verificar que termina con "@ domain.com"? Esto no parece una idea tan buena.

Después de la conexión también necesito el acceso de los usuarios los contactos de Google, que de acuerdo a la documentación requiere proxy de autenticación AuthSub .

¿Fue útil?

Solución

Para consultar todas las demás docs OpenID sugeridas. En resumen, es necesario redirigir al usuario a una URL de inicio de sesión personalizada en función de su nombre de dominio - es decir, que necesita para averiguar su nombre de dominio antes de redirección es decir, el parámetro hd, que de hecho las fuerzas de iniciar sesión en el dominio especificado

Esto es necesario también para apoyar SSO para dominios de Google Apps, donde la autenticación para el usuario no está a cargo de Google, sino por un servicio de terceros.

Asegúrese de verificar el proveedor de OpenID, no sólo el nombre de dominio dirección de correo electrónico, una vez que lo hace llegar la información de autenticación.

Otros consejos

Puede utilizar los criterios de valoración de OpenID para dominios de Google Apps como se describe aquí: http://groups.google.com/group/google-federated-login-api/web/openid-discovery-for-hosted-domains

En función de su biblioteca OpenID, puede / no puede ser capaz de utilizarlo sin embargo. Por ejemplo openid4java no soporta todavía

Parece que puedo utilizar el OpenID + OAuth protocolo híbrido para identificar tanto al usuario y obtener un token de acceso a las API de datos, como se describe en esta entrada de blog .

Editar:. actualizado vínculo roto a entrada de blog en vivo

esta pregunta para obtener información acerca de cómo obtener la década de los usuarios un correo electrónico usando OpenID. Supongo que entonces puedo comprobar que termina con el nombre de dominio correcto.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top