Настройка SSO
Подраздел SSO раздела Управление доступом предназначен для настройки и управления пользователями и их доступом, используя интеграцию с IdP (Identity Provider) сервисами (например, с помощью сервисов Identity Blitz, Keycloak).
Параметры подключения
Для настройки необходимо заполнить следующие параметры подключения в соответствии с данными из сервиса IdP:
- Базовый URL — URL сервиса
- ID приложения — ID сервиса
- Секрет приложения — ключ/секрет клиента из сервиса
- URI перенаправления — URL-адрес перенаправления после завершения процесса аутентификации и авторизации (TRON.ASOC)
- Запрашиваемые разрешения — параметры, которые определяют, какие данные и разрешения получит приложение после аутентификации (параметры
subиemailдолжны запрашиваться, и не могут быть удалены).
Также необходимо создать роли и группы для маппинга SSO. Подробнее см. Параметры авторизации → Метод аутентификации.
Для успешной настройки рекомендуется воспользоваться документацией сервисов IdP.
Настройки маппинга при интеграции c сервисами SSO
При интеграции системы с сервисами SSO пользователь может настроить маппинг полей вручную.
Для настройки маппинга необходимо выполнить следующие шаги:
- Перейти в раздел Управление доступом → SSO.
- Нажать кнопку Редактировать соединение.
- Заполнить следующие поля:
- Имя пользователя;
- Фамилия;
- Отображаемое имя;
- Группа;
- Роль.
- При необходимости установить чекбокс в поле Извлекать CN из DN групп.
- Нажать кнопку Сохранить изменения.
В случае, если значения полей не заполнены пользователем, используется маппинг полей по умолчанию.
Маппинг полей по умолчанию при интеграции ASOC c сервисами SSO представлен в таблице ниже.
| Атрибуты пользователя сервиса SSO | Атрибуты пользователя ASOC | Значение | Обязательный |
|---|---|---|---|
sub | username | Имя пользователя | Да |
email | email | Адрес электронной почты | Да |
| - | password (В ASOC генерируется случайный пароль при создании учетной записи) | Пароль | Да |
family_name + given_name | display_name | Отображаемое имя (Имя + Фамилия) | Нет |
groups.name | Group | Группа | Нет |
roles | Role | Роль | Нет |