Использование SSO#
Установщик платформы позволяет настроить Automation Controller и Private Automation Hub на использование единой системы идентификации пользователей SSO с использованием метода SAML.
Примечание
Automation Controller может использовать различные методы аутентификации, но в инвентаре установщика можно задать настройки только для SAML.
Подробное описание параметров SSO и их возможные значения см. в справочнике.
Подготовка к работе#
Для настройки SSO необходимы следующие сведения о поставщике услуг SAML:
URL;
идентификатор профиля платформы на стороне поставщика услуг SAML (Entity ID);
открытый сертификат;
закрытый ключ;
URL поставщика идентификационных данных (Identity Provider, IdP);
идентификатор поставщика идентификационных данных.
Для получения указанных сведений обратитесь к поставщику услуг SAML.
Примечание
Сервис SAML на момент установки должен быть в рабочем состоянии.
Параметры SSO для Automation Controller#
В глобальных настройках укажите параметры подключения к поставщику услуг SAML.
Например, чтобы использовать сервер Keycloak, укажите параметры подключения к нему следующим образом:
# ...
[all:vars]
sso_setup='true'
sso_url='https://<saml_host>:<saml_port>'
entity_id='<ac_entity>'
pub_cert_path='./saml.crt'
private_key_path='./saml.key'
provider_url='https://<saml_host>:<saml_port>/auth/realms/master/protocol/saml'
provider_id='https://<saml_host>:<saml_port>/auth/realms/master'
sso_displayname='Single Sign-On with Keycloak'
attr_email='email'
attr_groups='groups'
attr_username='email'
attr_last_name='last_name'
attr_first_name='first_name'
attr_user_permanent_id='email'
tech_contact_name='admin'
tech_contact_email='tech-support@example.com'
support_contact_name='admin'
support_contact_email='user-support@example.com'
---
# ...
all:
vars:
sso_setup: true
sso_url: https://<saml_host>:<saml_port>
entity_id: <ac_entity>
pub_cert_path: ./saml.crt
private_key_path: ./saml.key
provider_url: https://<saml_host>:<saml_port>/auth/realms/master/protocol/saml
provider_id: https://<saml_host>:<saml_port>/auth/realms/master
sso_displayname: Single Sign-On with Keycloak
attr_email: email
attr_groups: groups
attr_username: email
attr_last_name: last_name
attr_first_name: first_name
attr_user_permanent_id: email
tech_contact_name: admin
tech_contact_email: tech-support@example.com
support_contact_name: admin
support_contact_email: user-support@example.com
Здесь:
<saml_host> – адрес сервера поставщика услуг SAML;
<saml_port> – порт для подключения к серверу поставщика услуг SAML;
<ac_entity> – идентификатор объекта поставщика услуг SAML. Как правило, здесь указывается базовый URL Automation Controller.
Параметры SSO для Private Automation Hub#
Чтобы включить авторизацию в Private Automation Hub через SSO, в глобальных настройках укажите следующие параметры:
# ...
[all:vars]
sso_host='<host>'
sso_port=443
sso_automation_platform_realm='<platform_realm>'
sso_protocol='https'
sso_automation_hub_client_id='<client_id>'
sso_client_secret='<client_secret>'
sso_realm_public_key='<realm_public_key>'
sso_automation_hub_authorization_url='<auth_url>'
sso_automation_hub_token_url='<token_url>'
---
# ...
all:
vars:
sso_host: <host>
sso_port: 443
sso_automation_platform_realm: <platform_realm>
sso_protocol: https
sso_automation_hub_client_id: <client_id>
sso_client_secret: <client_secret>
sso_realm_public_key: <realm_public_key>
sso_automation_hub_authorization_url: <auth_url>
sso_automation_hub_token_url: <token_url>