Методы аутентификации#
Окно Методы аутентификации (Authentication Methods) используется для конфигурации каналов идентификации пользователей. С его помощью администратор может подключать и настраивать внешние провайдеры.
Для перехода к окну Методы аутентификации выберите на панели навигации ().
Таблица методов аутентификации#
Внешний вид окна Методы аутентификации (Authentication Methods) представлен на схеме:
Таблица методов аутентификации состоит из столбцов согласно настройке с помощью кнопки Настроить столбцы (Manage columns). Полный список столбцов:
Флаги для выбора нескольких записей.
Порядок (Order) – числовое значение, определяющее приоритет метода аутентификации. Методы с меньшим значением выполняются раньше при проверке учетных данных пользователя.
Название (Name) – название метода аутентификации.
Тип аутентификации (Authentication type) – тип механизма проверки подлинности, например, Local, LDAP или SAML.
Дата создания (Created) – дата и время создания метода аутентификации.
Последнее изменение (Last modified) – дата и время последнего изменения метода аутентификации.
Флаг переключения активности метода аутентификации.
Кнопки вызова часто выполняемых действий:
редактирование метода аутентификации;
удаление метода аутентификации.
Создание метода аутентификации#
Для создания метода аутентификации выполните следующие действия:
В окне Методы аутентификации (Authentication Methods) нажмите кнопку Создать метод аутентификации (Create authentication).
В открывшемся окне выберите необходимый тип метода аутентификации в поле Тип аутентификации (Authentication type) и нажмите кнопку Далее (Next).
Примечание
Список доступных методов и их описание см. в документе Методы аутентификации.
Заполните поля во вкладке Данные аутентификации (Authentication details), соответствующие выбранному методу аутентификации.
Название (Name) – название метода аутентификации. Отображается в списке методов и при выборе источника.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
OIDC Key – Идентификатор клиента (Client ID), выданный при регистрации приложения в Azure AD (Microsoft Entra ID).
OIDC Secret – Секрет клиента (Client Secret), соответствующий ключу OIDC.
Groups Claim – ключ JSON, содержащий список групп пользователя, получаемый от провайдера аутентификации. Используется для сопоставления групп и ролей платформы с группами пользователя.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Base URL – базовый URL экземпляра GitHub, например,
https://github.example.com.GitHub OAuth2 Enterprise API URL – URL API OAuth2 корпоративного экземпляра GitHub, например,
https://github.example.com/api/v3.Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Base URL – базовый URL экземпляра GitHub, например,
https://github.example.com.GitHub OAuth2 Enterprise API URL – URL API OAuth2 корпоративного экземпляра GitHub, например,
https://github.example.com/api/v3.GitHub OAuth2 Enterprise Org Name – название организации в экземпляре GitHub Enterprise, пользователи которой могут проходить аутентификацию через данный метод.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Base URL – базовый URL экземпляра GitHub, например,
https://github.example.com.GitHub OAuth2 Enterprise API URL – URL API OAuth2 корпоративного экземпляра GitHub, например,
https://github.example.com/api/v3.GitHub OAuth2 team ID – Идентификатор команды (Team ID) в GitHub Enterprise, пользователи которой могут проходить аутентификацию.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
GitHub OAuth2 Organization Name – название организации на GitHub.com, пользователи которой могут входить в систему через данный метод.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
GitHub OAuth2 Scope – список разрешений (scope), запрашиваемых у GitHub при аутентификации пользователя. Значение по умолчанию:
read:org.Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
GitHub OAuth2 Team ID – идентификатор команды (Team ID) на GitHub.com, пользователи которой смогут входить в систему.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
GitHub OAuth2 Scope – список разрешений (scope), запрашиваемых у GitHub при аутентификации пользователя. Значение по умолчанию:
read:org.Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Google OAuth2 Key – Идентификатор клиента (Client ID) приложения из Google Cloud Console.
Google OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Authorization URL – адрес авторизации Google, например,
https://accounts.google.com/o/oauth2/auth.Access Token URL – адрес для получения токена доступа, например,
https://oauth2.googleapis.com/token.Access Token Method – метод HTTP для получения токена (обычно
POST).Revoke Token URL – адрес для аннулирования токена, например,
https://oauth2.googleapis.com/revoke.Revoke Token Method – метод HTTP для аннулирования токена (обычно
POST).Redirect State – если параметр включен, платформа сохраняет и проверяет состояние при редиректе (рекомендуется для защиты от атак CSRF).
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
List of OAuth2 Scope(s) – список разрешений (scope), запрашиваемых у провайдера при аутентификации пользователя. Значение по умолчанию:
["openid", "email", "profile"].Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Keycloak Access Token URL – URL получения токена доступа.
Keycloak Provider URL – базовый URL Keycloak, например
https://keycloak.example.com/realms/myrealm.Keycloak OIDC Key – Идентификатор клиента (Client ID) в Keycloak.
Keycloak Public Key – открытый ключ для проверки подписи токенов.
Keycloak OIDC Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Groups Claim – ключ JSON, содержащий список групп пользователя, получаемый от провайдера аутентификации. Используется для сопоставления групп и ролей платформы с группами пользователя.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
LDAP Server URI – адрес сервера LDAP, например,
ldap://ldap.example.comилиldaps://ldap.example.com:636.LDAP Bind DN – отличительное наименование пользователя (Distinguished Name), используемого для авторизации в каталоге LDAP, например,
CN=AutomationControllerAdmin,CN=users,DC=example,DC=com.Важно
Значение в этом поле должно точно совпадать со значением атрибута пользователя «Distinguished Name bind».
LDAP Bind Password – пароль для учетной записи, указанной в поле LDAP Bind DN.
LDAP Group Type – тип групп в каталоге, например,
GroupOfNamesType,PosixGroupType,ActiveDirectoryGroupTypeи так далее.LDAP User DN Template – шаблон DN пользователя, применяемый при формировании пути к учетной записи, например,
uid={0},ou=people,dc=example,dc=com.LDAP Start TLS – использование защищенное соединение TLS, если LDAP не использует SSL.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
LDAP Connection Options – параметры подключения к серверу LDAP.
Пример
OPT_REFERRALS: 0 OPT_NETWORK_TIMEOUT: 30
LDAP Group Type Parameters – параметры, определяющие способ поиска членов групп.
Пример
name_attr: cn member_attr: member
LDAP Group Search – параметры поиска групп в LDAP.
Пример
base_dn: "ou=groups,dc=example,dc=com" filter: "(objectClass=groupOfNames)"
LDAP User Attribute Map – сопоставление атрибутов LDAP полям пользователя в платформе.
Пример
first_name: givenName last_name: sn email: mail
LDAP User Search – параметры поиска пользователей.
Пример
[ "DC=example,DC=com", "SCOPE_SUBTREE", "(cn=%(user)s)" ]
Примечание
При работе с Microsoft Active Directory используйте атрибут
sAMAccountName:[ "DC=example,DC=com", "SCOPE_SUBTREE", "(sAMAccountName=$(user)s)" ]
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
OIDC Provider URL – адрес провайдера OpenID Connect, например
https://idp.example.com.OIDC Key – Идентификатор клиента (Client ID) OpenID Connect.
OIDC Secret – Секрет клиента (Client Secret) OpenID Connect.
Access Token URL – URL для получения токена доступа (access token).
Access Token Method – HTTP-метод получения токена (
POSTилиGET).Authorization URL – URL авторизации пользователя.
ID Key – параметр, определяющий идентификатор пользователя (часто
sub).ID Token Issuer – URL издателя (issuer) ID-токена.
JWKS URL – ссылка на JSON Web Key Set (JWKS) с открытыми ключами для проверки подписи токенов.
OIDC Public Key – открытый ключ для проверки подписи токенов (используется, если JWKS URL недоступен).
Revoke Token URL – URL для аннулирования токена.
Revoke Token Method – метод HTTP, используемый при отзыве токена (
POSTилиGET).Response Type – тип ответа при аутентификации (обычно
code).Token Endpoint Auth Method – метод аутентификации клиента при обращении к token-endpoint, например,
client_secret_basicилиclient_secret_post.Userinfo URL – URL для получения информации о пользователе.
Username Key – ключ JSON, используемый для извлечения названия учетной записи пользователя из ID-токена или ответа userinfo.
Groups Claim – ключ JSON, содержащий список групп пользователя, получаемый от провайдера аутентификации. Используется для сопоставления групп и ролей платформы с группами пользователя.
Verify OIDC Provider Certificate – активация проверки сертификата провайдера.
Redirect State – если параметр включен, платформа сохраняет и проверяет состояние при редиректе (рекомендуется для защиты от атак CSRF).
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
OIDC JWT Algorithm(s) – список допустимых алгоритмов подписи токенов JWT.
Пример
- RS256 - HS256
OIDC JWT Decode Options – параметры проверки и декодирования токенов JWT.
Пример
verify_signature: true verify_aud: true
List of OAuth2 Scope(s) – список разрешений (scope), запрашиваемых у провайдера при аутентификации пользователя. Значение по умолчанию:
["openid", "email", "profile"].Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Hostname of RADIUS Server – адрес узла или IP-адрес сервера RADIUS, к которому выполняется обращение для проверки учетных данных пользователей.
Shared secret for authenticating to RADIUS server – общий секрет, используемый для аутентификации на сервере RADIUS.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
SAML Service Provider Entity ID – Уникальный идентификатор (SP Entity ID), под которым платформа зарегистрирована у поставщика удостоверений.
SAML Service Provider Public Certificate – публичный сертификат, применяемый для подписи запросов к поставщику услуг SAML (SP).
IdP Login URL – URL для входа на стороне IdP.
IdP Public Cert – публичный сертификат IdP, используемый для проверки подписанных ответов.
Entity ID – идентификатор объекта IdP.
Groups – атрибут утверждения SAML, содержащий список групп пользователя.
User Email – атрибут утверждения SAML, содержащий адрес электронной почты пользователя.
Username – атрибут утверждения SAML, содержащий названия пользователя.
User Last Name – атрибут утверждения SAML, содержащий фамилию пользователя.
User First Name – атрибут утверждения SAML, содержащий имя пользователя.
User Permanent ID – атрибут утверждения SAML, содержащий постоянный идентификатор пользователя.
SAML Assertion Consumer Service (ACS) URL – адрес точки приема утверждений SAML, на который поставщик удостоверений (IdP) отправляет ответ после успешной аутентификации.
SAML Service Provider Private Key – приватный ключ для расшифровки зашифрованных утверждений и подписи запросов.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
SAML Service Provider Organization Info – сведения о провайдере услуг, включая URL-адрес, отображаемое и внутреннее названия приложения.
SAML Service Provider Technical Contact – контактные данные технического представителя провайдера услуг.
SAML Service Provider Support Contact – контактные данные службы поддержки провайдера услуг.
SAML Service Provider extra configuration data – дополнительные параметры конфигурации провайдера услуг, передаваемые поставщику удостоверений.
SAML Security Config – параметры безопасности соединения SAML, включая алгоритмы подписи и требования к шифрованию.
SAML IDP to extra_data attribute mapping – сопоставление атрибутов поставщика удостоверений (IdP) дополнительным данным пользователя (extra_data). Каждый атрибут будет представлять собой список, даже если в нем будет только одно значение.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Hostname of TACACS+ Server – адрес узла или IP-адрес сервера TACACS+, используемого для проверки учетных данных пользователей.
TACACS+ Authentication Protocol – протокол аутентификации, применяемый сервером TACACS+.
Shared secret for authenticating to TACACS+ server – общий секрет для аутентификации на сервере TACACS+.
TACACS+ client address sending enabled – включение передачи IP-адреса клиента при выполнении аутентификации.
Additional Authenticator Fields – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Нажмите кнопку Далее (Next).
(Опционально) При создании метода аутентификации можно задать правила назначения ролей и прав доступа пользователям, прошедшим внешнюю аутентификацию. Каждое правило определяется типом сопоставления, условием его срабатывания (триггером) и действием при отзыве соответствия. Для этого выполните следующие действия:
Нажмите кнопку Добавить сопоставление аутентификации (Add authentication mapping) и выберите тип сопоставления. Доступны следующие типы сопоставления:
Разрешить (Allow) – разрешает вход определенным пользователям или группам, прошедшим внешнюю аутентификацию.
Организация (Organization) – назначает пользователям роль в конкретной организации.
Команда (Team) – добавляет пользователей в определенную команду.
Роли (Role) – выдает системную роль.
Суперпользователь (Superuser) – назначает пользователю права суперпользователя (полный доступ ко всем объектам платформы).
Заполните поля, соответствующие выбранному типу сопоставления.
Тип сопоставления Разрешить (Allow) используется для предоставления пользователям доступа к платформе после успешной аутентификации.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, доступ будет отозван при утрате соответствия условию.
Тип сопоставления Организация (Organization) автоматически добавляет пользователей во внутреннюю организацию платформы и назначает им роль после успешной аутентификации.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, при утрате соответствия условию пользователи будут исключены из организации.
Организация (Organization) – организация, в которую будут добавлены пользователи.
Роль (Role) – роль, назначаемая пользователям в рамках выбранной организации.
Тип сопоставления Team (Команда) позволяет автоматически добавлять пользователей в определенную команду и назначать им роль внутри выбранной команды.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, пользователь будет исключен из команды при утрате соответствия условию.
Команда (Team) – команда, в которую будут добавлены пользователи.
Организация (Organization) – организация, в которую будут добавлены пользователи.
Роль (Role) – роль, назначаемая пользователям в рамках выбранной команды.
Тип сопоставления Role (Роль) используется для назначения пользователям определенной роли.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, роль будет отозвана при утрате соответствия условию.
Команда (Team) – команда, в которую будут добавлены пользователи.
Организация (Organization) – организация, в которую будут добавлены пользователи.
Роль (Role) – роль, назначаемая пользователям в рамках выбранной команды.
Тип сопоставления Superuser (Суперпользователь) назначает пользователю административные права на уровне всей платформы.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, роль суперпользователя будет отозвана при утрате соответствия условию.
Нажмите кнопку Далее (Next).
(Опционально) Ознакомьтесь с порядком сопоставлений аутентификации и скорректируйте его при необходимости.
Нажмите кнопку Далее (Next).
Проверьте корректность настроек и нажмите кнопку Завершить (Finish).
Редактирование#
Чтобы изменить метод аутентификации, выполните следующие действия:
В таблице нажмите на название метода аутентификации, который необходимо изменить.
Нажмите кнопку Изменить аутентификацию (Edit authentication).
Внесите необходимые изменения.
Нажмите кнопку Завершить (Finish).
Удаление#
Чтобы удалить методы аутентификации, выполните следующие действия:
В таблице установите флаги в строках с методами аутентификации, которые необходимо удалить.
На панели инструментов нажмите кнопку ⋮ и в открывшемся меню выберите пункт Удалить аутентификации (Delete authentications).
Подтвердите удаление.