MFP Auth LDAP

Die Benutzerauthentifizierung ist eine grundlegende Anforderung in fast allen mobilen Apps für Unternehmen. Für interne mobile Apps wie diejenigen, die sich auf die Buchung von Lohn- und Gehaltsabrechnungen, Urlaub und Geschäftsreisen beziehen, möchten Organisationen, indem sie Benutzer mit dem On-Premise-LDAP-Server authentifizieren. Und für Apps, die an Endbenutzer abgestimmt sind, bei denen Unternehmensdaten nicht aufgedeckt werden, z. Dieses Codemuster zeigt, wie Entwickler den IBM Mobile Foundation -Service nutzen können, um die folgenden Benutzerauthentifizierungsmechanismen zu implementieren:

• Enterprise Login, indem Sie eine Verbindung zum On-Premise-LDAP-Server mit Secure Gateway herstellen.
• Social Login wie Google Login und Facebook Login.

Wenn Sie dieses Codemuster abgeschlossen haben, werden Sie verstehen:

• So erreichen Sie die Benutzerauthentifizierung in mobilen Apps, bei denen das Benutzer -Repository ein Enterprise -LDAP -Server ist.
• So erreichen Sie die Benutzerauthentifizierung in mobilen Apps mithilfe sozialer Login -Mechanismen wie Google oder Facebook.
• So schreiben Sie Mobilfoundation -Adapter, die Daten aus dem Cloud -Objektspeicherdienst und dem Cloudant -Service abrufen.
• So erfassen Sie die Geo-Location & Image des Benutzers aus der Kamera und zeigen Sie in Google Maps.

Das obige Diagramm veranschaulicht den Anmeldefluss (hier bei Google beschrieben, aber auch für Facebook oder andere soziale Anbieter relevant). Das Diagramm zeigt, dass der Auslöser, soziale Anbieter aufzurufen, vom Kunden initiiert wird.

1. Der Benutzer startet die mobile App und entscheidet sich für Google an.
2. Der Google Android SDK ruft den Google Signin REST -Service auf.
3. Das Access-Token aus dem REST-Dienst wird empfangen, und die mobile App ruft die Anmelde-API mit Social-Login und Anmeldeinformationen (Anbieter + Token) auf.
4. Die Mobile Foundation SDK sendet die Anmeldeinformationen und den Umfang an die Mobile Foundation Authorization Server API. Die Autorisierungs-API ruft den zugeordneten Sicherheitsprüfen-Social-Login auf, um die Anmeldeinformationen zu validieren.
5. Die Social-Login-Sicherheitsprüfung bestätigt das Token mit seiner Web-Client-Kennung aus der Sicherheitsüberprüfungskonfiguration. Der Social-Login gibt den authentifizierten Benutzer an die Autorisierungsserver-API zurück.
6. Die Autorisierungsserver -API gibt die authentifizierten Benutzerdaten an die Mobile Foundation SDK zurück. Die Mobile Foundation SDK gibt authentifizierte Benutzerdaten an die App zurück.
7. Wenn die Benutzerauthentifizierung erfolgreich ist, zeigt die mobile App die Startseite an. Die mobile App trifft den Adapter für mobile Foundation an, um die Daten aus der Cloudant -Datenbank abzurufen und an die mobile App zurückzugeben.
8. Die von Cloudant abgerufenen Daten haben Verweise auf die im Cloud -Objektspeicher gespeicherten Bilder. Die mobile App trifft den Adapter der Mobile Foundation auf, um das Autorisierungs -Token für die Interaktion mit Cloud -Objektspeicherdienst zu erhalten. Der Adapter der Mobile Foundation trifft den Token -Manager -Endpunkt des Cloud -Objektspeicherdienstes auf, um das Autorisierungs -Token zu erhalten und es an die mobile App zurückzugeben.
9. Die mobile App initialisiert das Image-Caching-Plugin und holt die Bilder vom Objektspeicher ab.
10. In der mobilen App werden die vom Adapter Mobile Foundation erhaltenen Daten als Liste der Elemente angezeigt. Der Benutzer klickt auf einen der Listenelemente, um weitere Details anzuzeigen. Eine Detailseite wird aus Bild und Geo-Location in Google Maps gezeigt.

1. Der Benutzer startet die mobile App und klickt auf die Schaltfläche Anmeldung.
2. Die mobile App ruft den Sicherheitsprüfadapter für die mobile Foundation auf, um die Benutzeranmeldeinformationen zu validieren.
3. Um die Benutzeranmeldeinformationen zu validieren, stellt der Sicherheitsprüfungadapter über ein sicheres Gateway eine Verbindung zum On-Premise Enterprise LDAP-Server her.
4. Der Enterprise LDAP -Server überprüft die Anmeldeinformationen und sendet die Antwort über das Secure Gateway an den mobilen Foundation -Server zurück.
5. Der mobile Foundation Server gibt die authentifizierten Benutzerdaten an die Mobile Foundation SDK zurück. Die Mobile Foundation SDK gibt authentifizierte Benutzerdaten an die App zurück.
6. Wenn die Benutzerauthentifizierung erfolgreich ist, zeigt die mobile App die Startseite an. Die mobile App trifft den Adapter für mobile Foundation an, um die Daten aus der Cloudant -Datenbank abzurufen und an die mobile App zurückzugeben.
7. Die von Cloudant abgerufenen Daten haben Verweise auf die im Cloud -Objektspeicher gespeicherten Bilder. Die mobile App trifft den Adapter der Mobile Foundation auf, um das Autorisierungs -Token für die Interaktion mit Cloud -Objektspeicherdienst zu erhalten. Der Adapter der Mobile Foundation trifft den Token -Manager -Endpunkt des Cloud -Objektspeicherdienstes auf, um das Autorisierungs -Token zu erhalten und es an die mobile App zurückzugeben.
8. Die mobile App initialisiert das Image-Caching-Plugin und holt die Bilder vom Objektspeicher ab.
9. In der mobilen App werden die vom Adapter Mobile Foundation erhaltenen Daten als Liste der Elemente angezeigt.
10. Der Benutzer klickt auf einen der Listenelemente, um weitere Details anzuzeigen. Eine Detailseite wird aus Bild und Geo-Location in Google Maps gezeigt.

• Cloudant NoSQL DB: Eine vollständig verwaltete Datenebene für moderne Web- und Mobilanwendungen, die ein flexibles JSON -Schema nutzen.
• Cloud -Objektspeicher: Ein hochskalierbarer Cloud -Speicherdienst, der für hohe Haltbarkeit, Ausfallsicherheit und Sicherheit entwickelt wurde.
• Mobile Foundation: Ein skalierbares mobiles Access-Gateway, das von der marktführenden IBM Mobile Foundation-Technologie angetrieben wird. Der Service bietet eine umfassende Reihe mobiler Backend -Funktionen wie Lebenszyklus, Push, Analytics, Feature -Toggle, Sicherheit und Authentifizierung und Offline -Synchronisierung.
• Secure Gateway: Eine schnelle, einfache und sichere Lösung, die eine anhaltende Verbindung zwischen lokalen oder Cloud-Umgebungen von Drittanbietern und der IBM-Cloud bietet.

• Mobile: Engagementsysteme nutzen die mobile Technologie zunehmend als Plattform für die Lieferung.

1. Setup Ionic and MobileFoundation CLI

2. Erstellen Sie Cloudant -Datenbank und füllen Sie sie mit Beispieldaten ein

3. Erstellen Sie IBM Cloud -Objektspeicherdienst und füllen Sie ihn mit Beispieldaten aus

4. Erstellen Sie den Mobilfoundation -Service und konfigurieren Sie MFP CLI

5. Setup LDAP -Server und sichere Gateway -Client einrichten

6. Registrieren Sie die Android -App bei Google und Facebook für soziale Anmeldung

7. Quellenrepo herunterladen und anpassen

• 7.1 Klonrepo

• 7.2 App -ID, Name und Beschreibung aktualisieren

• 7.3 Geben Sie Cloudant -Anmeldeinformationen im MobileFoundation -Adapter an

• 7.4 Geben Sie Cloud -Objektspeicher -Anmeldeinformationen im MobileFoundation -Adapter an

• 7.5 Geben Sie LDAP -Anmeldeinformationen im Mobilfoundation -Adapter an

• 7.6 Geben Sie Google Anmeldeinformationen im Moilefoundation-Adapter an

• 7.7 Geben Sie die Facebook Appid und Google ClientID in der ionischen App an

8. Bereitstellen Sie die Mobilfoundation -Adapter ein und testen Sie

• 8.1 Erstellen und Bereitstellen der Mobilfunk -Adapter

• 8.2 MobileFoundation Dashboard starten und Adapterkonfigurationen überprüfen

9. Führen Sie die Bewerbung auf Android -Telefon aus

Dieses Projekt baut auf https://github.com/ibm/ionic-mfp-app auf. Führen Sie die folgenden Schritte aus diesem Basisprojekt aus, um die erforderlichen mobilen Backend -Dienste von IBM Cloud bereitzustellen und sie mit Beispieldaten zu füllen sowie die Ionic- und Mobilfoundation -CLI auf Ihrem Entwicklungsgerät einzurichten.

Schritt 1. Setup Ionic and MobileFoundation CLI

Schritt 2. Cloudant -Datenbank erstellen und mit Beispieldaten bevölkern

Schritt 3. Erstellen Sie IBM Cloud -Objektspeicherdienst und füllen Sie ihn mit Beispieldaten aus

Schritt 4. Erstellen Sie den Mobilfoundation -Service und konfigurieren

Wenn Sie Ihr Enterprise LDAP -Server -Setup und ausgeführt haben, können Sie den Rest dieses Abschnitts überspringen und in den Abschnitt "Setup Secure Gateway Client" wechseln. Wenn Sie kein LDAP -Server -Setup haben, können Sie versuchen, Apacheds zu installieren - https://directory.apache.org/apacheds. Die Grundlagen- und Setup-Handbuch für Apacheds finden Sie unter-https://directory.apache.org/apacheds/basic-user-guide.html (siehe Abschnitt 1). Importieren Sie die hier verfügbaren Beispieldaten, indem Sie hier Schritte folgen. Fügen Sie zum Beispiel einen neuen Eintrag mit Ihren Details hinzu,

• CN: John d
• SN: Johnd
• Beschreibung: Manager
• gegebenen Namen: John
• Mail: [email protected]
• UID: xxxx
• Benutzerpasswort: xxxxx

Um auf den auf IBM Cloud ausgeführten mobilen Foundation-Server auf Ihren On-Premise-LDAP-Server zugreifen zu können, müssen wir zunächst eine sichere Gateway-Verbindung zwischen dem lokalen LDAP-Server und der IBM-Cloud gemäß den folgenden Schritten herstellen:

1. Melden Sie sich bei IBM Cloud an. Klicken Sie auf

    Catalog > All Categories > Integration > Secure Gateway > Create
   

2. Klicken Sie im Secure Gateway Service Dashboard Add Gateway . Geben Sie einen Namen an und klicken Sie auf Add Gateway . Klicken Sie auf das Symbol für das gerade hinzugefügte Gateway.

3. Klicken Sie auf Add Clients . Lassen Sie die Standardauswahl von IBM Installer As-is. Beachten Sie die Gateway ID und Security Token .

4. Kopieren Sie die Download -URL für das Secure Gateway -Client -Installateur für das Betriebssystem, auf dem der LDAP -Server ausgeführt wird.

5. Melden Sie sich bei der On-Premise-Maschine an, auf der der LDAP-Server ausgeführt wird. Laden Sie das Secure Gateway Client -Installationsprogramm mit der von Secure Gateway Dashboard erhaltenen Download -URL herunter. Installieren und starten Sie den sicheren Gateway -Client mithilfe von Anweisungen, die hier verfügbar sind.

Fügen Sie den LDAP -Server als Ziel im sicheren Gateway -Client mit den hier verfügbaren Anweisungen hinzu. Wenn das neu hinzugefügte Ziel eine erhöhte Hand in roter Farbe mit Access blocked by ACL zeigt, stellen Sie sicher, dass Sie acl allow < host >:< port > In der Befehlszeile des sicheren Gateway-Clients.

6. Klicken Sie auf dem Ziel, das wir gerade hinzugefügt haben, auf die Schaltfläche Einstellungen. Kopieren Sie den Wert unter Cloud-Host: Port (z. B. Cap-SG-PRD-5.Integration.ibmcloud.com:16801). Dies ist, was wir in unserem Mobilfunk -Adapter als hostname:port of LDAP -Server angeben.

1. Holen Sie sich die Google Web Client -ID, indem Sie die App bei der Google API -Konsole registrieren

2. Holen Sie sich die Facebook -App -ID, indem Sie diese App bei Facebook Apps Console registrieren

 $ git clone https://github.com/IBM/MFP-Auth-LDAP
$ cd MFP-Auth-LDAP

Aktualisieren Sie IonicMobileApp/config.xml wie unten. Ändern Sie id , name , description und author angemessen.

<?xml version='1.0' encoding='utf-8'?>
<widget id="org.mycity.myward" version="2.0.0" xmlns="https://www.w3.org/ns/widgets" xmlns:cdv="http://cordova.apache.org/ns/1.0" xmlns:mfp="http://www.ibm.com/mobilefirst/cordova-plugin-mfp">
    <name>MyWard</name>
    <description>Get your civic issues resolved by posting through this app.</description>
    <author email="[email protected]" href="https://developer.ibm.com/code/author/shivahr/">Shiva Kumar H R</author>
...

Öffnen Sie MobileFoundationAdapters/MyWardData/src/main/adapter-resources/adapter.xml und aktualisieren Sie die folgenden Eigenschaften, um auf die in Schritt 2 erstellte Cloudant-Datenbank zu verweisen.

• Aktualisieren Sie key und password mit der Cloudant -API -Taste wie in Schritt 2.2 generiert.
• Geben Sie für account den Cloudant Dashboard -URL -Anteil bis (und einschließlich) -Bluemix.cloudant.com an, wie im Snapshot von Schritt 2.2 gezeigt.
• Lassen Sie den Standardwert von myward As-is für Eigentum DBName .

<mfp:adapter name="MyWardData" ...>
  <property name="account" displayName="Cloudant account" defaultValue=""/>
  <property name="key" displayName="Cloudant key" defaultValue=""/>
  <property name="password" displayName="Cloudant password" defaultValue=""/>
  <property name="DBName" displayName="Cloudant DB name" defaultValue="myward"/>
  ...
</mfp:adapter>

Öffnen Sie MobileFoundationAdapters/MyWardData/src/main/adapter-resources/adapter.xml und aktualisieren Sie die folgenden Eigenschaften, um auf den in Schritt 3 erstellten Cloud-Objektspeicher zu verweisen.

• Geben Sie den Wert für bucketName an, wie in Schritt 3.1 erstellt.
• Geben Sie serviceId und apiKey an, die in Schritt 3.2 erstellt wurden.
• Beim Erstellen des Bucket in Schritt 3.1 aktualisieren Sie den endpointURL nach der Spezifikation unter https://cloud.ibm.com/docs/services/cloud-objekt-storage/basics/endpoints

<mfp:adapter name="MyWardData" ...>
  ...
  <property name="endpointURL" displayName="Cloud Object Storage Endpoint Public URL" defaultValue="https://s3-api.us-geo.objectstorage.softlayer.net"/>
  <property name="bucketName" displayName="Cloud Object Storage Bucket Name" defaultValue=""/>
  <property name="serviceId" displayName="Cloud Object Storage Service ID" defaultValue=""  />
  <property name="apiKey" displayName="Cloud Object Storage API Key" defaultValue=""/>
</mfp:adapter>

Öffnen Sie MobileFoundationAdapters/LDAPLoginAdapter/src/main/adapter-resources/adapter.xml und aktualisieren Sie die folgenden Eigenschaften, um auf den in Schritt 5.2 erstellten sicheren Gateway-Client zu verweisen

<property name="ldapUserAttribute" defaultValue="uid" displayName="The LDAP attribute for username"/>
		<property name="ldapNameAttribute" defaultValue="cn" displayName="The LDAP attribute for display name"/>
		<property name="ldapURL" defaultValue="ldap://caplonsgprd-5.integration.ibmcloud.com:15315" displayName="The LDAP Server URL"/>
		<property name="userFilter" defaultValue="(&(uid=%v))" displayName="The LDAP user filter, use %v as placeholder for user"/>
		<property name="bindDN" defaultValue="uid=admin,ou=system" displayName="The LDAP bind DN (- for none)"/>
<property name="bindPassword" defaultValue="apacheds" displayName="The LDAP bind password (- for none)" type="string"/>

Öffnen Sie MobileFoundationAdapters/SocialLoginAdapter/src/main/adapter-resources/adapter.xml und aktualisieren Sie die in Schritt 6 erstellte Google-Client-ID wie unten gezeigt

<property name="google.clientId"
                  defaultValue="618106571370-nie902ccc0i3id6sgdu4nc58bslabcde.apps.googleusercontent.com"
				  displayName="google client Id"
                  description="OAuth 2.0 client ID that was created for your server. Get it from Google Developers Console
                  at https://console.developers.google.com/projectselector/apis/credentials"/>

Installieren Sie das Cordova- und Ionic Facebook-Plugin und das Googleplus-Plugin mit folgenden Befehlen (Python2 ist eine Voraussetzung)

 $ ionic cordova plugin add cordova-plugin-facebook4 --variable APP_ID="your_appid_from_step6" --variable APP_NAME="your application name"

$ npm install --save @ionic-native/facebook

 $ ionic cordova plugin add cordova-plugin-googleplus --variable REVERSED_CLIENT_ID="reverseclientid_from_step6"

$ npm install --save @ionic-native/google-plus

Nachdem die Plugins von Facebook und GooglePlus installiert wurden

 <plugin name="cordova-plugin-facebook4" spec="^1.9.1">
        <variable name="APP_ID" value="your_appid" />
        <variable name="APP_NAME" value="MyWard" />
    </plugin>

 <plugin name="cordova-plugin-googleplus" spec="^5.3.0">
        <variable name="REVERSED_CLIENT_ID" value="your_reverse_clientid" />
    </plugin>

Die REVERSED_CLIENT_ID ist die umgekehrte Form des in Schritt6 erhaltenen Google WebClientid.

Fügen Sie auch die WebClientID in der Datei authat_handler.ts in der methode googlePluslogin () hinzu.

Erstellen und setzen Sie MyWardData -Adapter wie unten ein und setzen Sie sie ein.

 $ cd MobileFoundationAdapters/
$ cd MyWardData
$ mfpdev adapter build
$ mfpdev adapter deploy

Hinweis: Wenn der Server keine Standardeinstellung ist, erwähnen Sie bitte den Befehl Server "MFPDEV Adapter Deploy" im Befehl.

Erstellen und bereitstellen Sie LDAPLoginAdapter -Adapter wie unten.

$ cd ../LDAPLoginAdapter/
$ mfpdev adapter build
$ mfpdev adapter deploy

Erstellen und setzen Sie den SocialLoginAdapter -Adapter wie unten auf.

 $ cd ../SocialLoginAdapter/
$ mfpdev adapter build
$ mfpdev adapter deploy

Starten Sie MobileFoundation Dashboard wie unten:

• Klicken Sie im IBM Cloud Dashboard unter Cloud Foundry Services auf den in Schritt 4 erstellten Mobile Foundation -Service. Auf der angezeigten Serviceübersichtsseite wird das MobileFoundation -Dashboard in sich eingebettet. Sie können das MobileFoundation -Dashboard auch auf einer separaten Registerkarte Browser öffnen, indem Sie an die in Schritt 4 genannte URL /mfpconsole .
• In der Mobilfoundation -Dashboard in der Liste links sehen Sie die angegebenen LDAPLoginAdapter , SocialLoginAdapter und MyWardData -Adapter.

Überprüfen Sie die Konfiguration von Mobilfoundation Adapter wie unten:

1. Klicken Sie im Mobilfoundation -Dashboard auf den MyWardData -Adapter. Auf der Registerkarte Configurations " sollten Sie die verschiedenen Eigenschaften sehen, die wir in Schritt 7.3 und Schritt 7.4 für den Zugriff auf Cloudant -Datenbank- und Cloud -Objektspeicher wie unten angegeben angegeben haben. Als Alternative zur Angabe dieser Eigenschaftswerte in MobileFoundationAdapters/MyWardData/src/main/adapter-resources/adapter.xml Wie zuvor in Schritt 7.3 und Schritt 7.4 gezeigt, können Sie die Adapter mit leerem defaultValue bereitstellen und die Werte auf diesem Seite eingesetzt werden.

• Klicken Sie auf die Registerkarte Resources . Sie sollten die verschiedenen REST -APIs sehen, die von MyWardData Adapter aufgedeckt wurden, wie unten gezeigt. Die Security sollte den Schutz des SCOPE UserLogin gegen jede REST -Methode anzeigen.

2. Klicken Sie auf "LdaploginAdapter", um die Konfigurationen zu überprüfen
3. Klicken Sie auf das "SocialLoginAdapter" öffnen, um seine Konfiguration zu überprüfen.

Befolgen Sie die Anweisungen in Schritt 7 des Basisprojekts, um die Anwendung auf Android -Telefon auszuführen. Testen Sie anstelle eines einfachen UserLogin die Schaltfläche Google Anmeld oder FB-Anmeldung oder die Schaltfläche LDAPLOGIN.basiert auf der ausgewählten Taste, der Mechanismus zur Validierungsmechanismus der Benutzerauthentifizierung variiert.

Nachfolgend zeigt Screenshot die verschiedenen Seiten der Anwendung.

Anweisungen zum Debuggen von Android Hybrid App unter Verwendung von Chrome -Entwickler -Tools oder Fehlerbehebungshandbuch für Lösungen für einige häufig auftretende Probleme.

• Verbindung zu LDAP -Servern mit IBM Mobilfrefirst Foundation 8.0 herstellen
• Implementierung der Authentifizierung der sozialen Login mit IBM MobileFirst Platform Foundation 8.0
• Authentifizierung und Sicherheit
• Facebook Login
• Google Signin

Apache 2.0