Вернуться наверх

Настройка федерации

Чтобы настроить федерацию:

  1. Создайте ее.
  2. Добавьте и настройте IdP.
  3. Настройте OIDC-клиент.

1. Создайте федерацию

  1. В консоли организации перейдите в раздел Федерации.

  2. Нажмите кнопку Создать.

  3. Укажите значения параметров:

    • имя федерации;

    • роль для пользователей, которые будут авторизоваться через федерацию;

      Примечание

      Полномочия роли будут распространяться на всю организацию.

    • время сессии — период, в течение которого браузер не будет требовать от пользователя повторной аутентификации;

    • (опционально) описание федерации.

  4. Нажмите кнопку Создать.

2. Добавьте и настройте IdP

Примечание

Чтобы настроить федерацию, нужно также настроить OIDC-клиент на стороне MWS. Для этого обратитесь к документации вашего IdP.

  1. Нажмите Добавить IdP.

  2. В разделе Конфигурация IdP URL установите значения параметров:

    • Issuer — идентификатор IdP-сервера, на котором будут аутентифицироваться пользователи. Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации вашего IdP.

      У некоторых IdP идентификатор может заканчиваться на /.well-known/openid-configuration. Не указывайте эту часть в значении параметра Issuer. Например, идентификатор https://auth.example.com/auth/realms/example/.well-known/openid-configuration нужно указать как https://auth.example.com/auth/realms/example/.

    • Authorization Endpoint — URL сервера, на котором будут авторизоваться конечные пользователи.

    • Token Endpoint — URL, на который клиентское приложение отправляет запросы для получения, обновления или аннулирования токенов доступа.

    • Userinfo Endpoint — защищенный URL, при запросе на который с валидным токеном доступа возвращается информация о профиле аутентифицированного пользователя в формате JSON.

    • JWKS URI — URL для проверки JWT-токенов.

    • (опционально) Additional Scopes — параметры для авторизации пользователя, которые должны содержаться в токене от IdP. По умолчанию запрашиваются параметры openid, email, profile, но при необходимости можно запросить и дополнительные параметры.

    Примечание

    Значения параметров Authorization Endpoint, Token Endpoint, Userinfo Endpoint и JWKS URI можно найти в конфигурации IdP.

3. Настройте OIDC-клиент

  1. В разделе Настройка OIDC-клиента укажите значения параметров:

    • Client ID — открытый уникальный идентификатор, присвоенный клиенту на сервере авторизации;
    • Client Secret — пароль клиентского приложения для сервера авторизации.

  2. Установите условия, на которых пользователь будет входить в веб-консоль. Для этого выберите один из двух способов получения данных о пользователе:

    • Token Endpoint — данные о пользователе берутся только из токена доступа в момент его получения;
    • Token Endpoint и Userinfo Endpoint — данные берутся из токена доступа, а затем выполняется запрос на получение дополнительной информации.

  3. Нажмите кнопку Далее.

  4. Настройте сопоставление (маппинг) атрибутов:

    • В поле mws.subject укажите атрибут из JWT-токена (claim), значение которого будет использоваться как уникальный идентификатор федеративного пользователя (чаще используются значения sub или email).

      Совет

      Указывайте атрибут, который позволяет однозначно идентифицировать пользователя — например, email.

    • Настройте дополнительные атрибуты.

  5. (опционально) Задайте дополнительные условия авторизации: например, для пользователей из определенного департамента или для пользователей с определенными адресами электронной почты.

  6. Нажмите кнопку Создать.

  7. На странице федерации скопируйте ссылку (Sign In URL) рядом с именем добавленного IdP. Разошлите ее всем пользователям, которые будут авторизоваться через федерацию.