Добавление аутентификации
На странице Аутентификация можно настроить требования к аутентификации в системе.
По умолчанию в системе используется встроенная аутентификация. Чтобы добавить новую аутентификацию, нажмите Добавить и выберите ее тип:
- OpenID
- SAML
- Стандартная Windows
- Kerberos
Также в системе предусмотрен бесшовный вход. Если настроена авторизация через Active Directory и отсутствует встроенная аутентификация, происходит автоматическая авторизация пользователя даже в случае, когда сессия прервалась.
Пользователи из Active Directory, учетные записи которых синхронизируются в систему, могут получить возможность аутентификации на основе своих учетных данных в Active Directory.
Встроенная аутентификация
В интерфейсе отображаются пункты:
- Сложный пароль (вкл/выкл)
- Срок действия пароля (дней)
- Количество попыток входа
При включенном сложном пароле необходимо также указать минимальную длину пароля (от 8 до 15 знаков).
- Если аутентификация с типом Встроенная была удалена из таблицы, ее можно создать заново.
- Аутентификация с типом Встроенная может быть только одна в системе.
OpenID аутентификация
Добавление аутентификации OpenID дает возможность входить в систему через протокол OpenID с использованием KeyCloak.
OpenID — это протокол для децентрализованной идентификации пользователей в интернете, который позволяет использовать одну учетную запись для входа на различные сайты, что упрощает процесс аутентификации и повышает удобство для пользователей. Подробную информацию можно найти на официальном сайте OpenID.
KeyCloak — это система управления идентификацией и доступом, которая поддерживает различные протоколы, в том числе OpenID, что позволяет централизованно управлять учетными записями пользователей и обеспечивает безопасность аутентификации. Подробно ознакомиться с KeyCloak можно на официальном сайте.
При выборе этого типа в интерфейсе появляются пункты:
- Issuer URL (адрес, который уникально идентифицирует сервер OpenID провайдера)
- Client Authenticator (тип клиентской аутентификации)
- SSL
- Client ID (идентификатор клиента)
- Client secret (клиентский ключ)
- Cопоставлять по полю в системе (выбор атрибута, по которому будут синхронизироваться пользователи, входящие в систему через OpenID)
Вход в систему осуществляется через кнопку Войти через OpenID.
Подробные инструкции по настройке аутентификации OpenID представлены на странице Настройка аутентификации с использованием OpenID Connect и Keycloak.
SAML аутентификация
Добавление аутентификации SAML дает возможность входить в систему с помощью своих учетных данных в AD, используя протокол SAML. При выборе в интерфейсе появляются пункты:
- Экспорт метаданных (скачивание XML-файла — метаданные поставщика сервиса)
- Импорт метаданных (загрузка в систему XML-файла — метаданные поставщика учетной записи)
- Сопоставлять по полю в системе (выбор атрибута, по которому будут синхронизироваться пользователи, входящие в систему через SAML)
Атрибут для сопоставления нужно выбирать того же формата, что и параметр nameId
вашего idP.
Стандартная Windows-аутентификация
Добавление Стандартной Windows-аутентификации дает возможность входить в систему с помощью своих учетных данных в AD. При добавлении аутентификации укажите ее название и выберите сопоставляемые атрибуты (выбор атрибута, по которому будут синхронизироваться пользователи, входящие в систему через стандартную аутентификацию).
- Стандартная аутентификация не отображается, если на сервере установлена ОС Linux.
- Если в системе уже добавлена аутентификация с типом Стандартная, то при создании следующих аутентификаций возможно выбрать только Kerberos.
Kerberos-аутентификация
Добавление аутентификации Kerberos дает возможность входить в систему с помощью своих учетных данных в AD, используя протокол Kerberos. При добавлении данного типа аутентификации в интерфейсе появляются пункты:
- Ключ (.keytab)
- Адрес KDC
- Сопоставлять по полю в системе (выбор атрибута, по которому будут синхронизироваться пользователи, входящие в систему через Kerberos-аутентификацию)
В случае включения аутентификации Kerberos загрузите ранее созданный keytab-файл, укажите имя домена или адрес выдачи ключей и выберите атрибут, по которому будут синхронизироваться пользователи, входящие в систему. При отключении аутентификации ранее загруженный keytab-файл удаляется.
Вход в систему будет осуществляться через кнопку Войти через Active Directory.
Сопоставление атрибутов
Логика работы сопоставления атрибутов:
- По умолчанию выбран логин
- Можно выбрать почту или любое кастомное поле. В поле должен быть строковый тип данных
- Сопоставляет выбранное поле с атрибутом UserPrincipleName в AD. Если они совпадают, то сотруднику разрешен вход в систему
Особенности удаления аутентификации
Чтобы удалить аутентификацию, кликните по значку контекстного меню напротив нее и выберите Удалить.
Подтвердите удаление в появившемся модальном окне.
- Последнюю/единственную аутентификацию нельзя удалить.
- Если аутентификация назначена сотрудникам ее можно удалить, при этом пользователей выкидывает из системы.
Была ли статья полезна?