Xác thực bằng SAML trong các ứng dụng web

Nếu đã nâng cấp lên Firebase Authentication with Identity Platform, bạn có thể xác thực người dùng bằng Firebase thông qua nhà cung cấp danh tính SAML mà bạn chọn. Nhờ vậy, bạn có thể sử dụng giải pháp đăng nhập một lần (SSO) dựa trên SAML để giúp người dùng đăng nhập vào ứng dụng Firebase của bạn.

Firebase Authentication chỉ hỗ trợ quy trình SAML do nhà cung cấp dịch vụ khởi tạo.

Trước khi bắt đầu

Để người dùng đăng nhập bằng nhà cung cấp danh tính SAML, trước tiên, bạn phải thu thập của nhà cung cấp:

• Mã nhận dạng thực thể của nhà cung cấp: URI xác định nhà cung cấp danh tính.
• URL đăng nhập một lần dựa trên SAML của nhà cung cấp: URL của trang đăng nhập của nhà cung cấp danh tính .
• Chứng chỉ khoá công khai của nhà cung cấp: Chứng chỉ dùng để xác thực mã thông báo do nhà cung cấp danh tính ký.
• Mã nhận dạng thực thể của ứng dụng: URI xác định ứng dụng của bạn, ví dụ: ".

Sau khi có thông tin nêu trên, hãy bật SAML làm nhà cung cấp dịch vụ đăng nhập cho Dự án Firebase:

1. Thêm Firebase vào dự án JavaScript của bạn.

2. Nếu bạn chưa nâng cấp lên Firebase Authentication with Identity Platform, hãy nâng cấp lên. Chỉ xác thực SAML có sẵn trong các dự án đã nâng cấp.

3. Trên trang Nhà cung cấp dịch vụ đăng nhập của bảng điều khiển Firebase, nhấp vào Thêm nhà cung cấp mới, sau đó nhấp vào SAML.

4. Đặt tên cho nhà cung cấp này. Lưu ý mã nhà cung cấp được tạo: chẳng hạn như saml.example-provider. Bạn sẽ cần mã này khi thêm vào ứng dụng của mình.

5. Chỉ định mã nhận dạng thực thể, URL SSO và khoá công khai của nhà cung cấp danh tính chứng chỉ. Đồng thời, hãy chỉ định mã nhận dạng thực thể của ứng dụng (nhà cung cấp dịch vụ). Các giá trị này phải khớp chính xác với giá trị mà nhà cung cấp đã chỉ định cho bạn.

6. Lưu thay đổi.

7. Nếu bạn chưa uỷ quyền miền của ứng dụng, hãy thêm miền đó vào danh sách cho phép trên trang Xác thực > Cài đặt của bảng điều khiển Firebase.

Xử lý quy trình đăng nhập bằng Firebase SDK

Để xử lý quy trình đăng nhập bằng SDK JavaScript của Firebase, hãy làm theo các bước sau các bước:

1. Tạo một thực thể của SAMLAuthProvider bằng mã nhà cung cấp mà bạn có trong đó bảng điều khiển của Firebase.

   Web

   import { SAMLAuthProvider } from "firebase/auth";
   
   const provider = new SAMLAuthProvider('saml.example-provider');
   

   Web

   var provider = new firebase.auth.SAMLAuthProvider('saml.example-provider');
   ``
   

1. Xác thực bằng Firebase bằng đối tượng nhà cung cấp SAML.

   Bạn có thể chuyển hướng người dùng đến trang đăng nhập của nhà cung cấp hoặc mở trong cửa sổ trình duyệt bật lên.

   Quy trình chuyển hướng

   Chuyển hướng đến trang đăng nhập của nhà cung cấp bằng cách gọi signInWithRedirect():

   Web

   import { getAuth, signInWithRedirect } from "firebase/auth";
   
   const auth = getAuth();
   signInWithRedirect(auth, provider);
   

   Web

   firebase.auth().signInWithRedirect(provider);
   

   Sau khi người dùng hoàn tất đăng nhập và quay lại ứng dụng của bạn, bạn có thể nhận được bằng cách gọi getRedirectResult().

   Web

   import { getAuth, getRedirectResult, SAMLAuthProvider } from "firebase/auth";
   
   const auth = getAuth();
   getRedirectResult(auth)
     .then((result) => {
       // User is signed in.
   
       // Provider data available using getAdditionalUserInfo()
     })
     .catch((error) => {
       // Handle error.
     });
   

   Web

   firebase.auth().getRedirectResult()
     .then((result) => {
       // User is signed in.
   
       // Provider data available in result.additionalUserInfo.profile,
       // or from the user's ID token obtained from result.user.getIdToken()
       // as an object in the firebase.sign_in_attributes custom claim.
     })
     .catch((error) => {
       // Handle error.
     });
   

   Quy trình bật lên

   Web

   import { getAuth, signInWithPopup, OAuthProvider } from "firebase/auth";
   
   const auth = getAuth();
   signInWithPopup(auth, provider)
     .then((result) => {
       // User is signed in.
   
       // Provider data available in result.additionalUserInfo.profile,
       // or from the user's ID token obtained from result.user.getIdToken()
       // as an object in the firebase.sign_in_attributes custom claim.
     })
     .catch((error) => {
       // Handle error.
     });
   

   Web

   firebase.auth().signInWithPopup(provider)
     .then((result) => {
       // User is signed in.
   
       // Provider data available in result.additionalUserInfo.profile,
       // or from the user's ID token obtained from result.user.getIdToken()
       // as an object in the firebase.sign_in_attributes custom claim.
     })
     .catch((error) => {
       // Handle error.
     });
   

   Mã thông báo giá trị nhận dạng và UserInfo đối tượng chỉ chứa địa chỉ email của người dùng nếu địa chỉ đó được cung cấp trong Thuộc tính NameID của nội dung xác nhận SAML từ nhà cung cấp danh tính:

   <Subject>
     <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">test@email.com</NameID>
   </Subject>
   

2. Mặc dù các ví dụ ở trên tập trung vào quy trình đăng nhập, bạn có thể sử dụng cùng một để liên kết nhà cung cấp SAML với người dùng hiện có bằng linkWithRedirect() và linkWithPopup(), đồng thời xác thực lại người dùng bằng reauthenticateWithRedirect() và reauthenticateWithPopup(), có thể là dùng để truy xuất thông tin đăng nhập mới cho những hoạt động nhạy cảm cần đến lần đăng nhập gần đây.