Настройка федерации

Чтобы настроить федерацию:

1. Создайте ее.
2. Добавьте и настройте IdP.
3. Настройте OIDC-клиент.

1. В консоли организации перейдите в раздел Федерации.

2. Нажмите кнопку Создать.

3. Укажите значения параметров:

   • имя федерации;

   • роль для пользователей, которые будут авторизоваться через федерацию;

     Примечание

     Полномочия роли будут распространяться на всю организацию.

   • время сессии — период, в течение которого браузер не будет требовать от пользователя повторной аутентификации;

   • (опционально) описание федерации.

4. Нажмите кнопку Создать.

1. Нажмите Добавить IdP.

2. В разделе Конфигурация IdP URL установите значения параметров:

   • Issuer — идентификатор IdP-сервера, на котором будут аутентифицироваться пользователи. Чтобы узнать, как получить идентификатор IdP-сервера, обратитесь к документации вашего IdP.

     У некоторых IdP идентификатор может заканчиваться на /.well-known/openid-configuration. Не указывайте эту часть в значении параметра Issuer. Например, идентификатор https://auth.example.com/auth/realms/example/.well-known/openid-configuration нужно указать как https://auth.example.com/auth/realms/example/.

   • Authorization Endpoint — URL сервера, на котором будут авторизоваться конечные пользователи.

   • Token Endpoint — URL, на который клиентское приложение отправляет запросы для получения, обновления или аннулирования токенов доступа.

   • Userinfo Endpoint — защищенный URL, при запросе на который с валидным токеном доступа возвращается информация о профиле аутентифицированного пользователя в формате JSON.

   • JWKS URI — URL для проверки JWT-токенов.

   • (опционально) Additional Scopes — параметры для авторизации пользователя, которые должны содержаться в токене от IdP. По умолчанию запрашиваются параметры openid, email, profile, но при необходимости можно запросить и дополнительные параметры.

   Примечание

   Значения параметров Authorization Endpoint, Token Endpoint, Userinfo Endpoint и JWKS URI можно найти в конфигурации IdP.

1. В разделе Настройка OIDC-клиента укажите значения параметров:

   • Client ID — открытый уникальный идентификатор, присвоенный клиенту на сервере авторизации;
   • Client Secret — пароль клиентского приложения для сервера авторизации.

2. Установите условия, на которых пользователь будет входить в веб-консоль. Для этого выберите один из двух способов получения данных о пользователе:

   • Token Endpoint — данные о пользователе берутся только из токена доступа в момент его получения;
   • Token Endpoint и Userinfo Endpoint — данные берутся из токена доступа, а затем выполняется запрос на получение дополнительной информации.

3. Нажмите кнопку Далее.

4. Настройте сопоставление (маппинг) атрибутов:

   • В поле mws.subject укажите атрибут из JWT-токена (claim), значение которого будет использоваться как уникальный идентификатор федеративного пользователя (чаще используются значения sub или email).

     Совет

     Указывайте атрибут, который позволяет однозначно идентифицировать пользователя — например, email.

   • Настройте дополнительные атрибуты.

5. (опционально) Задайте дополнительные условия авторизации: например, для пользователей из определенного департамента или для пользователей с определенными адресами электронной почты.

6. Нажмите кнопку Создать.

7. На странице федерации скопируйте ссылку (Sign In URL) рядом с именем добавленного IdP. Разошлите ее всем пользователям, которые будут авторизоваться через федерацию.