Использование SSO

Использование SSO#

Этот шаг необходим, если требуется подключить платформу к единой системе аутентификации.

../../../../_images/general-green.svg ../../../../_images/gateway-green.svg ../../../../_images/autoexec-green.svg ../../../../_images/content-green.svg ../../../../_images/eda-green.svg ../../../../_images/tls-green.svg ../../../../_images/postgres-green.svg ../../../../_images/sso-blue.svg ../../../../_images/general-green.svg ../../../../_images/gateway-green.svg ../../../../_images/autoexec-green.svg ../../../../_images/content-green.svg ../../../../_images/eda-green.svg ../../../../_images/tls-green.svg ../../../../_images/postgres-green.svg ../../../../_images/sso-blue.svg

Установщик платформы позволяет настроить Astra Automation на использование единой системы идентификации пользователей SSO с использованием метода SAML.

Примечание

Astra Automation может использовать различные методы аутентификации, но в инвентаре установщика можно задать настройки только для SAML.

Подробное описание параметров SSO и их возможные значения см. в справочнике.

Подготовка к работе#

Для настройки SSO необходимы следующие сведения о поставщике услуг SAML:

  • URL;

  • идентификатор профиля платформы на стороне поставщика услуг SAML (Entity ID);

  • открытый сертификат;

  • закрытый ключ;

  • URL поставщика идентификационных данных (Identity Provider, IdP);

  • идентификатор поставщика идентификационных данных.

Для получения указанных сведений обратитесь к поставщику услуг SAML.

Примечание

Сервис SAML на момент установки должен быть в рабочем состоянии.

Параметры SSO для Astra Automation#

В глобальных настройках укажите параметры подключения к поставщику услуг SAML.

Например, чтобы использовать сервер Keycloak, укажите параметры подключения к нему следующим образом:

# ...
[all:vars]
sso_setup='true'
sso_url='https://<saml_host>:<saml_port>'
entity_id='<ac_entity>'
pub_cert_path='./saml.crt'
private_key_path='./saml.key'
provider_url='https://<saml_host>:<saml_port>/auth/realms/master/protocol/saml'
provider_id='https://<saml_host>:<saml_port>/auth/realms/master'
sso_displayname='Single Sign-On with Keycloak'
attr_email='email'
attr_groups='groups'
attr_username='email'
attr_last_name='last_name'
attr_first_name='first_name'
attr_user_permanent_id='email'
tech_contact_name='admin'
tech_contact_email='tech-support@example.com'
support_contact_name='admin'
support_contact_email='user-support@example.com'

---
# ...
all:
  vars:
    sso_setup: true
    sso_url: https://<saml_host>:<saml_port>
    entity_id: <ac_entity>
    pub_cert_path: ./saml.crt
    private_key_path: ./saml.key
    provider_url: https://<saml_host>:<saml_port>/auth/realms/master/protocol/saml
    provider_id: https://<saml_host>:<saml_port>/auth/realms/master
    sso_displayname: Single Sign-On with Keycloak
    attr_email: email
    attr_groups: groups
    attr_username: email
    attr_last_name: last_name
    attr_first_name: first_name
    attr_user_permanent_id: email
    tech_contact_name: admin
    tech_contact_email: tech-support@example.com
    support_contact_name: admin
    support_contact_email: user-support@example.com

Здесь:

  • <saml_host> – адрес сервера поставщика услуг SAML;

  • <saml_port> – порт для подключения к серверу поставщика услуг SAML;

  • <ac_entity> – идентификатор объекта поставщика услуг SAML, в качестве которого надо указать базовый URL Astra Automation.