Методы аутентификации#
Окно Методы аутентификации (Authentication Methods) используется для конфигурации каналов идентификации пользователей. С его помощью администратор может подключать и настраивать внешние провайдеры.
Для перехода к окну Методы аутентификации выберите на панели навигации ().
Таблица методов аутентификации#
Внешний вид окна Методы аутентификации (Authentication Methods) представлен на схеме:
Таблица методов аутентификации состоит из столбцов согласно настройке с помощью кнопки Настроить столбцы (Manage columns). Полный список столбцов:
Флаги для выбора нескольких записей.
Порядок (Order) – числовое значение, определяющее приоритет метода аутентификации. Методы с меньшим значением выполняются раньше при проверке учетных данных пользователя.
Название (Name) – название метода аутентификации.
Тип аутентификации (Authentication type) – тип механизма проверки подлинности, например, Local, LDAP или SAML.
Дата создания (Created) – дата и время создания метода аутентификации.
Последнее изменение (Last modified) – дата и время последнего изменения метода аутентификации.
Флаг переключения активности метода аутентификации.
Кнопки вызова часто выполняемых действий:
редактирование метода аутентификации;
удаление метода аутентификации.
Создание метода аутентификации#
Для создания метода аутентификации выполните следующие действия:
В окне Методы аутентификации (Authentication Methods) нажмите кнопку Создать метод аутентификации (Create authentication).
В открывшемся окне выберите необходимый тип метода аутентификации в поле Тип аутентификации (Authentication type) и нажмите кнопку Далее (Next).
Примечание
Список доступных методов и их описание см. в документе Методы аутентификации.
Заполните поля во вкладке Данные аутентификации (Authentication details), соответствующие выбранному методу аутентификации.
Название (Name) – название метода аутентификации. Отображается в списке методов и при выборе источника.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Ключ OIDC (OIDC Key) – Идентификатор клиента (Client ID), выданный при регистрации приложения в Azure AD (Microsoft Entra ID).
Секрет OIDC (OIDC Secret) – Секрет клиента (Client Secret), соответствующий ключу OIDC.
Ключ групп (Groups Claim) – ключ JSON, содержащий список групп пользователя, получаемый от провайдера аутентификации. Используется для сопоставления групп и ролей платформы с группами пользователя.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Base URL – базовый URL экземпляра GitHub, например,
https://github.example.com.GitHub OAuth2 Enterprise API URL – URL API OAuth2 корпоративного экземпляра GitHub, например,
https://github.example.com/api/v3.Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Base URL – базовый URL экземпляра GitHub, например,
https://github.example.com.GitHub OAuth2 Enterprise API URL – URL API OAuth2 корпоративного экземпляра GitHub, например,
https://github.example.com/api/v3.GitHub OAuth2 Enterprise Org Name – название организации в экземпляре GitHub Enterprise, пользователи которой могут проходить аутентификацию через данный метод.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
Base URL – базовый URL экземпляра GitHub, например,
https://github.example.com.GitHub OAuth2 Enterprise API URL – URL API OAuth2 корпоративного экземпляра GitHub, например,
https://github.example.com/api/v3.GitHub OAuth2 team ID – Идентификатор команды (Team ID) в GitHub Enterprise, пользователи которой могут проходить аутентификацию.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
GitHub OAuth2 Organization Name – название организации на GitHub.com, пользователи которой могут входить в систему через данный метод.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
GitHub OAuth2 Scope – список разрешений (scope), запрашиваемых у GitHub при аутентификации пользователя. Значение по умолчанию:
read:org.Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
GitHub OAuth2 Key – Идентификатор клиента (Client ID), выданный при регистрации OAuth-приложения в GitHub.
GitHub OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
GitHub OAuth2 Team ID – идентификатор команды (Team ID) на GitHub.com, пользователи которой смогут входить в систему.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
GitHub OAuth2 Scope – список разрешений (scope), запрашиваемых у GitHub при аутентификации пользователя. Значение по умолчанию:
read:org.Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Google OAuth2 Key – Идентификатор клиента (Client ID) приложения из Google Cloud Console.
Google OAuth2 Secret – Секрет клиента (Client Secret), соответствующий указанному ключу.
URL-адрес авторизации (Authorization URL) – адрес авторизации Google, например,
https://accounts.google.com/o/oauth2/auth.URL токена доступа (Access Token URL) – адрес для получения токена доступа, например,
https://oauth2.googleapis.com/token.Метод токена доступа (Access Token Method) – метод HTTP для получения токена (обычно
POST).URL отзыва токена (Revoke Token URL) – адрес для аннулирования токена, например,
https://oauth2.googleapis.com/revoke.Метод отзыва токена (Revoke Token Method) – метод HTTP для аннулирования токена (обычно
POST).Состояние перенаправления (Redirect State) – если параметр включен, платформа сохраняет и проверяет состояние при редиректе (рекомендуется для защиты от атак CSRF).
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Список областей OAuth2 (List of OAuth2 Scope(s)) – список разрешений (scope), запрашиваемых у провайдера при аутентификации пользователя. Значение по умолчанию:
["openid", "email", "profile"].Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей. Миграция может завершиться без ошибки, но при использовании имени учетной записи или адреса электронной почты платформа может создать отдельную учетную запись или добавить к имени префикс. Для повторного использования существующей учетной записи старый и новый методы должны передавать один и тот же стабильный уникальный идентификатор пользователя. Перед массовым переходом проверьте результат на отдельном тестовом пользователе.
URL токена доступа Keycloak (Keycloak Access Token URL) – URL token endpoint Keycloak, например
https://keycloak.example.com/realms/myrealm/protocol/openid-connect/token.URL провайдера Keycloak (Keycloak Provider URL) – URL authorization endpoint Keycloak, например
https://keycloak.example.com/realms/myrealm/protocol/openid-connect/auth. Не указывайте здесь только base realm URL.Ключ OIDC Keycloak (Keycloak OIDC Key) – Идентификатор клиента (Client ID) в Keycloak.
Публичный ключ Keycloak (Keycloak Public Key) – открытый ключ для проверки подписи токенов.
Секрет OIDC Keycloak (Keycloak OIDC Secret) – Секрет клиента (Client Secret), соответствующий указанному ключу.
Ключ групп (Groups Claim) – название атрибута, содержащего список групп, в которые входит пользователь.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь, проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
LDAP Server URI – адрес сервера LDAP, например,
ldap://ldap.example.comилиldaps://ldap.example.com:636.LDAP Bind DN – отличительное наименование пользователя (Distinguished Name), используемого для авторизации в каталоге LDAP, например,
CN=AutomationControllerAdmin,CN=users,DC=example,DC=com.Важно
Значение в этом поле должно точно совпадать со значением атрибута пользователя «Distinguished Name bind».
LDAP Bind Password – пароль для учетной записи, указанной в поле LDAP Bind DN.
LDAP Group Type – тип групп в каталоге, например,
GroupOfNamesType,PosixGroupType,ActiveDirectoryGroupTypeи так далее.LDAP User DN Template – шаблон DN пользователя, применяемый при формировании пути к учетной записи, например,
uid={0},ou=people,dc=example,dc=com.LDAP Start TLS – использование защищенное соединение TLS, если LDAP не использует SSL.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
LDAP Connection Options – параметры подключения к серверу LDAP.
Пример
OPT_REFERRALS: 0 OPT_NETWORK_TIMEOUT: 30
LDAP Group Type Parameters – параметры, определяющие способ поиска членов групп.
Пример
name_attr: cn member_attr: member
LDAP Group Search – параметры поиска групп в LDAP.
Пример
base_dn: "ou=groups,dc=example,dc=com" filter: "(objectClass=groupOfNames)"
LDAP User Attribute Map – сопоставление атрибутов LDAP полям пользователя в платформе.
Пример
first_name: givenName last_name: sn email: mail
LDAP User Search – параметры поиска пользователей.
Пример
[ "DC=example,DC=com", "SCOPE_SUBTREE", "(cn=%(user)s)" ]
Примечание
При работе с Microsoft Active Directory используйте атрибут
sAMAccountName:[ "DC=example,DC=com", "SCOPE_SUBTREE", "(sAMAccountName=$(user)s)" ]
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей. Миграция может завершиться без ошибки, но при использовании имени учетной записи или адреса электронной почты платформа может создать отдельную учетную запись или добавить к имени префикс. Согласно документации upstream, для повторного использования существующей учетной записи старый и новый методы должны передавать один и тот же стабильный уникальный идентификатор пользователя.
URL провайдера OIDC (OIDC Provider URL) – базовый URL провайдера OIDC, который используется для получения метаданных OpenID Connect. Для Keycloak укажите URL realm без пути
/.well-known/openid-configuration, напримерhttps://keycloak.example.com/realms/myrealm. Platform Gateway самостоятельно добавляет путь/.well-known/openid-configuration. Если указать полный URL метаданных, Platform Gateway повторно добавит этот путь, что приведет к формированию некорректного адреса и ошибке404 Not Found.Ключ OIDC (OIDC Key) – Идентификатор клиента (Client ID) OpenID Connect.
Секрет OIDC (OIDC Secret) – Секрет клиента (Client Secret) OpenID Connect.
URL токена доступа (Access Token URL) – URL token endpoint для обмена authorization code на токены.
Метод токена доступа (Access Token Method) – HTTP-метод получения токена, например
POST.URL-адрес авторизации (Authorization URL) – URL внешнего провайдера OIDC. Astra Automation перенаправляет пользователя на этот адрес для выполнения аутентификации у провайдера.
Обычно значение поля можно получить из метаданных провайдера OIDC в параметре
authorization_endpoint, доступных по адресуhttps://<oidc_provider>/.well-known/openid-configuration.Ключ ID (ID Key) – JSON-ключ с устойчивым идентификатором пользователя. Для новых настроек обычно используется
sub. При миграции без создания дубликатов старый и новый методы должны передавать один и тот же стабильный уникальный идентификатор пользователя.ID токена источника (ID Token Issuer) – URL издателя (issuer) ID token.
URI JWKS (JWKS URI) – ссылка на JSON Web Key Set (JWKS) с открытыми ключами для проверки подписи токенов.
Публичный ключ OIDC (OIDC Public Key) – открытый ключ для проверки подписи токенов. Используется, если URI JWKS (JWKS URI) недоступен.
URL отзыва токена (Revoke Token URL) – URL для отзыва токена.
Метод отзыва токена (Revoke Token Method) – метод HTTP, используемый при отзыве токена, например
POSTилиGET.Тип ответа (Response Type) – тип ответа при аутентификации. Обычно используется
code.Метод аутентификации конечной точки токена (Token Endpoint Auth Method) – метод аутентификации клиента при обращении к token endpoint, например
client_secret_basicилиclient_secret_post.URL информации о пользователе (Userinfo URL) – URL userinfo endpoint для получения сведений о пользователе.
Ключ имени пользователя (Username Key) – JSON-ключ, используемый для извлечения имени учетной записи пользователя из ID token или ответа userinfo. Для новых настроек Keycloak обычно используется
preferred_username. При миграции с другого метода аутентификации использованиеemailилиpreferred_usernameможет привести к созданию отдельной учетной записи или имени с префиксом. Для связывания учетных записей используйте стабильный идентификатор пользователя, а не только отображаемое имя.Ключ групп (Groups Claim) – JSON-ключ, из которого Astra Automation получает список групп пользователя из ID token или ответа userinfo. Значение должно точно совпадать с именем ключа, передаваемого провайдером, например
groups. Само значение поля не назначает права пользователю. Для назначения прав необходимо настроить правило сопоставления.Проверить сертификат провайдера OIDC (Verify OIDC Provider Certificate) – активация проверки сертификата провайдера OIDC.
Состояние перенаправления (Redirect State) – если параметр включен, платформа сохраняет и проверяет состояние при перенаправлении. Рекомендуется включать для защиты от атак CSRF.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Алгоритмы OIDC JWT (OIDC JWT Algorithm(s)) – список допустимых алгоритмов подписи токенов JWT.
Пример
- RS256
Опции декодирования OIDC JWT (OIDC JWT Decode Options) – параметры проверки и декодирования токенов JWT.
Пример
verify_signature: true verify_aud: true
Список областей OAuth2 (List of OAuth2 Scope(s)) – список scopes, запрашиваемых у провайдера при аутентификации пользователя. Значение по умолчанию:
["openid", "email", "profile"].Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь, проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Hostname of RADIUS Server – адрес узла или IP-адрес сервера RADIUS, к которому выполняется обращение для проверки учетных данных пользователей.
Shared secret for authenticating to RADIUS server – общий секрет, используемый для аутентификации на сервере RADIUS.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
SAML Service Provider Entity ID – Уникальный идентификатор (SP Entity ID), под которым платформа зарегистрирована у поставщика удостоверений.
SAML Service Provider Public Certificate – публичный сертификат, применяемый для подписи запросов к поставщику услуг SAML (SP).
IdP Login URL – URL для входа на стороне IdP.
IdP Public Cert – публичный сертификат IdP, используемый для проверки подписанных ответов.
Entity ID – идентификатор объекта IdP.
Groups – атрибут утверждения SAML, содержащий список групп пользователя.
User Email – атрибут утверждения SAML, содержащий адрес электронной почты пользователя.
Username – атрибут утверждения SAML, содержащий названия пользователя.
User Last Name – атрибут утверждения SAML, содержащий фамилию пользователя.
User First Name – атрибут утверждения SAML, содержащий имя пользователя.
User Permanent ID – атрибут утверждения SAML, содержащий постоянный идентификатор пользователя.
SAML Assertion Consumer Service (ACS) URL – адрес точки приема утверждений SAML, на который поставщик удостоверений (IdP) отправляет ответ после успешной аутентификации.
SAML Service Provider Private Key – приватный ключ для расшифровки зашифрованных утверждений и подписи запросов.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
SAML Service Provider Organization Info – сведения о провайдере услуг, включая URL, отображаемое и внутреннее названия приложения.
SAML Service Provider Technical Contact – контактные данные технического представителя провайдера услуг.
SAML Service Provider Support Contact – контактные данные службы поддержки провайдера услуг.
SAML Service Provider extra configuration data – дополнительные параметры конфигурации провайдера услуг, передаваемые поставщику удостоверений.
SAML Security Config – параметры безопасности соединения SAML, включая алгоритмы подписи и требования к шифрованию.
SAML IDP to extra_data attribute mapping – сопоставление атрибутов поставщика удостоверений (IdP) дополнительным данным пользователя (extra_data). Каждый атрибут будет представлять собой список, даже если в нем будет только одно значение.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Название (Name) – название метода аутентификации.
Автоматически мигрировать пользователей из (Auto migrate users from) – позволяет выбрать существующий метод аутентификации, из которого следует автоматически перенести пользователей.
Hostname of TACACS+ Server – адрес узла или IP-адрес сервера TACACS+, используемого для проверки учетных данных пользователей.
TACACS+ Authentication Protocol – протокол аутентификации, применяемый сервером TACACS+.
Shared secret for authenticating to TACACS+ server – общий секрет для аутентификации на сервере TACACS+.
TACACS+ client address sending enabled – включение передачи IP-адреса клиента при выполнении аутентификации.
Дополнительные поля аутентификации (Additional Authenticator Fields) – используется для задания дополнительных параметров в формате YAML или JSON.
Опции (Options):
Включенный (Enabled) – если опция включена, метод будет активирован после его создания;
Создавать объекты (Create objects) – если опция включена, аутентификатору разрешено создавать объекты (пользователей, команды, организации);
Удалить пользователей (Remove users) – если опция включена, пользователь проходящий аутентификацию с помощью этого источника, будет удален из всех других групп, в которые он был добавлен ранее.
Нажмите кнопку Далее (Next).
(Опционально) При создании метода аутентификации можно задать правила назначения ролей и прав доступа пользователям, прошедшим внешнюю аутентификацию. Каждое правило определяется типом сопоставления, условием его срабатывания (триггером) и действием при отзыве соответствия. Для этого выполните следующие действия:
Нажмите кнопку Добавить сопоставление аутентификации (Add authentication mapping) и выберите тип сопоставления. Доступны следующие типы сопоставления:
Разрешить (Allow) – разрешает вход определенным пользователям или группам, прошедшим внешнюю аутентификацию.
Организация (Organization) – назначает пользователям роль в конкретной организации.
Команда (Team) – добавляет пользователей в определенную команду.
Роли (Role) – выдает системную роль.
Суперпользователь (Superuser) – назначает пользователю права суперпользователя (полный доступ ко всем объектам платформы).
Заполните поля, соответствующие выбранному типу сопоставления.
Тип сопоставления Разрешить (Allow) используется для предоставления пользователям доступа к платформе после успешной аутентификации.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, доступ будет отозван при утрате соответствия условию.
Тип сопоставления Организация (Organization) автоматически добавляет пользователей во внутреннюю организацию платформы и назначает им роль после успешной аутентификации.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, при утрате соответствия условию пользователи будут исключены из организации.
Организация (Organization) – организация, в которую будут добавлены пользователи.
Роль (Role) – роль, назначаемая пользователям в рамках выбранной организации.
Тип сопоставления Team (Команда) позволяет автоматически добавлять пользователей в определенную команду и назначать им роль внутри выбранной команды.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, пользователь будет исключен из команды при утрате соответствия условию.
Команда (Team) – команда, в которую будут добавлены пользователи.
Организация (Organization) – организация, в которую будут добавлены пользователи.
Роль (Role) – роль, назначаемая пользователям в рамках выбранной команды.
Тип сопоставления Role (Роль) используется для назначения пользователям определенной роли.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, роль будет отозвана при утрате соответствия условию.
Команда (Team) – команда, в которую будут добавлены пользователи.
Организация (Organization) – организация, в которую будут добавлены пользователи.
Роль (Role) – роль, назначаемая пользователям в рамках выбранной команды.
Тип сопоставления Superuser (Суперпользователь) назначает пользователю административные права на уровне всей платформы.
Для заполнения доступны следующие поля:
Название (Name) – уникальное название правила сопоставления.
Триггер (Trigger) – условие, при котором применяется правило:
Всегда (Always) – разрешение доступа применяется ко всем пользователям;
Никогда (Never) – правило не срабатывает (удобно для временного отключения);
Группы (Groups) – правило срабатывает, если пользователь входит в указанную группу, возвращаемую провайдером аутентификации;
Атрибуты (Attributes) – правило срабатывает при совпадении указанных атрибутов, полученных от провайдера аутентификации.
Отозвать (Revoke) – если включено, роль суперпользователя будет отозвана при утрате соответствия условию.
Нажмите кнопку Далее (Next).
(Опционально) Ознакомьтесь с порядком сопоставлений аутентификации и скорректируйте его при необходимости.
Нажмите кнопку Далее (Next).
Проверьте корректность настроек и нажмите кнопку Завершить (Finish).
Включение/отключение#
Чтобы включить/отключить метод аутентификации, переведите переключатель в конце строки выбранного метода в состояние Включенный/Неактивный (Enable/Disable).
Редактирование#
Чтобы изменить метод аутентификации, выполните следующие действия:
В таблице нажмите на название метода аутентификации, который необходимо изменить.
Нажмите кнопку Изменить аутентификацию (Edit authentication).
Внесите необходимые изменения.
Нажмите кнопку Завершить (Finish).
Удаление#
Чтобы удалить методы аутентификации, выполните следующие действия:
В таблице установите флаги в строках с методами аутентификации, которые необходимо удалить.
На панели инструментов нажмите кнопку ⋮ и в открывшемся меню выберите пункт Удалить аутентификации (Delete authentications).
Подтвердите удаление.