Klubero SSO - Průvodce integrací
Vítejte v průvodci integrací Klubero SSO. Tato dokumentace vám pomůže integrovat Klubero SSO do vašich aplikací pomocí standardních protokolů OpenID Connect (OIDC) a OAuth 2.0.
Co je Klubero SSO?
Klubero SSO je centralizovaná služba pro autentizaci a autorizaci, která umožňuje uživatelům přihlásit se jednou a bezpečně přistupovat k více aplikacím. Implementuje protokol OpenID Connect (OIDC) postavený na OAuth 2.0 a poskytuje:
- Single Sign-On (SSO) - Uživatelé se autentizují jednou a získají přístup ke všem propojeným aplikacím
- Bezpečná autentizace pomocí tokenů - Standardní JWT tokeny pro zabezpečený přístup k API
- Více metod autentizace - Heslo, Magic Link (bez hesla), externí poskytovatelé (Google, Facebook, Seznam.cz)
- Dvoufaktorová autentizace - Dodatečná vrstva zabezpečení přes autentikační aplikaci (TOTP) nebo e-mail
- Granulární oprávnění - Řízení přístupu k API prostředkům pomocí scopes
- Správa relací - Plná viditelnost a kontrola nad aktivními relacemi
Kompatibilita s OpenID Connect
Klubero SSO je plně kompatibilní se specifikací OpenID Connect Core 1.0. Pro integraci můžete použít jakoukoli standardní OIDC klientskou knihovnu. Doporučujeme používat udržované knihovny jako:
- JavaScript/Node.js:
openid-client,oidc-client-ts - C# / .NET:
Microsoft.AspNetCore.Authentication.OpenIdConnect - Python:
authlib,python-jose - Java:
Spring Security OAuth2 - PHP:
league/oauth2-client
Předpoklady
Před zahájením integrace se ujistěte, že máte:
- HTTPS povolené ve vaší aplikaci (vyžadováno pro všechny OAuth redirecty)
- Přihlašovací údaje aplikace (client_id a volitelně client_secret) od podpory Klubero
- Zaregistrované redirect URI pro vaši aplikaci
- Porozumění konceptům OAuth 2.0 / OIDC (viz slovník níže)
Slovník pojmů
| Pojem | Definice |
|---|---|
| Access Token | JWT token používaný k autentizaci API požadavků. Krátkodobý (30 minut). |
| Refresh Token | Dlouhodobý token (14 dní) používaný k získání nových access tokenů bez interakce uživatele. |
| ID Token | JWT obsahující informace o identitě uživatele (claims) po úspěšné autentizaci. |
| Authorization Code | Dočasný kód vyměňovaný za tokeny. Platný 5 minut, jednorázový. |
| Scope | Oprávnění definující, k jakým datům nebo akcím má aplikace přístup. |
| PKCE | Proof Key for Code Exchange - bezpečnostní rozšíření pro veřejné klienty (SPA, mobilní aplikace). |
| Client ID | Veřejný identifikátor vaší aplikace. Bezpečné vystavit ve frontend kódu. |
| Client Secret | Tajný klíč vaší aplikace. Nikdy nevystavovat ve frontend kódu. |
| Redirect URI | URL, kam jsou uživatelé přesměrováni po autentizaci. Musí být předem registrované. |
| Consent | Souhlas uživatele s přístupem aplikace k jeho datům. |
| Claims | Informace o uživateli (např. email, jméno) obsažené v tokenech. |
Podpora
Pokud narazíte na problémy nebo máte otázky, které nejsou pokryty v této dokumentaci, kontaktujte nás na:
E-mail: support@klubero.cz