Создание профиля SSO

SSO (Single Sign-On) — технология, которая позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учётных данных, и переходить между ними без повторной аутентификации.

Профиль SSO — набор настроек и данных, которые определяют, как система единого входа (SSO) будет аутентифицировать пользователей и предоставлять им доступ к приложениям и сайтам. Профиль SSO применяется ко всем пользователям в организации.

Создавать профили SSO может пользователь и сервисный аккаунт общего назначения с ролью Суперадминистратор.

Можно создать профили SSO двух типов:

В одной организации может быть максимум 5 профилей SSO.

Создание профиля SSO на базе протокола SAML

SAML — протокол аутентификации, который позволяет обмениваться информацией между провайдером идентификации (IdP) и провайдером услуг (SP) через браузер пользователя.

Чтобы создать профиль SSO на базе протокола SAML:

  1. В главном меню консоли перейдите в раздел Профили SSO.
  2. Нажмите на кнопку  Добавить.
  3. Установите переключатель Профиль на базе SAML и заполните поля:

    Профиль системы единого входа на базе SAML:

    • Название * — имя профиля SSO.

    Сведения о поставщике идентификационных услуг:
    Нажмите на кнопку и выберите XML-файл с метаданными поставщика SAML.

    Примечание

    Если в файле корректно заполнено описание настроек SAML, следующие поля заполнятся автоматически. Если некорректно, заполните их вручную.

    • Формат NameId *формат идентификатора, который будет использоваться для пользователей, входящих в системы компании через данный профиль SSO:
      • persistent — постоянный идентификатор, который будет сгенерирован для каждого пользователя при первом входе через SSO-профиль;
      • emailAddress — в качестве идентификатора будет использоваться email пользователя. При выборе данного формата нельзя изменить email пользователя (без создания новой учётной записи).

        Важно

        Используйте формат emailAddress, только если формат persistent не подходит по каким-либо причинам.

        Если выбран формат emailAddress, то после добавления SSO-профиля изменить этот формат на persistent невозможно.

    • Идентификатор поставщика идентификационной информации * — идентификатор провайдера идентификации (entityID);
    • URL страницы входа * — URL-адрес, куда пользователи перенаправляются для аутентификации;
    • URL выхода (end_session_endpoint) — URL-адрес, который используется для единого завершения сессии пользователей в рамках протокола SAML;
    • Backchannel logout — установите флажок, если нужно одновременно завершать сеанс на стороне провайдера услуг (SP) и на стороне провайдера идентификации (IdP) без участия браузера пользователя. Если провайдер идентификации (IdP) по каким-либо причинам недоступен напрямую (например, находится в закрытом контуре), не устанавливайте флажок.

    Проверочный сертификат — сертификат, который подтверждает вход в систему поставщика идентификационной информации.
    Если нужно загрузить ещё один сертификат, нажмите на кнопку и выберите файл сертификата в формате PEM.

    1. Можно загрузить не более 2 сертификатов.
    2. Поддерживаются только сертификаты X.509 в формате PEM, содержащие открытый ключ.
  4. Нажмите на кнопку Добавить.

  5. В правиле политики аутентификации:
    1. В поле Способ аутентификации * выберите SSO профиль или Пароль или SSO профиль.
    2. В поле SSO профиль * выберите созданный профиль SSO.

Созданный профиль SSO на базе протокола SAML отображается в консоли администратора:

Чтобы посмотреть Идентификатор объекта поставщика услуг и URL ACS, нажмите на строку с профилем SSO:

Профиль SSO на базе протокола SAML можно изменить или удалить.

Проверочный сертификат профиля SSO на базе протокола SAML можно скопировать, скачать, удалить, а также добавить дополнительный проверочный сертификат. Подробнее см. в разделе Проверочный сертификат профиля SSO на базе протокола SAML.

Создание профиля SSO на базе протокола OIDC

OIDC (OpenID Connect) — протокол аутентификации, построенный на основе OAuth 2.0, который позволяет сервисам проверять личность пользователей и получать базовую информацию о пользователе в формате JSON Web Token (JWT) по данным внешнего провайдера идентификации.

Чтобы создать профиль SSO на базе протокола OIDC:

  1. В главном меню консоли перейдите в раздел Профили SSO.
  2. Нажмите на кнопку Добавить.
  3. Установите переключатель Профиль на базе OIDC и заполните поля:

    Профиль системы единого входа на базе OIDC:

    • Название * — имя профиля SSO.

    Сведения о поставщике идентификационных услуг:

    • OpenID Endpoint Configuration провайдера — URL-адрес, по которому можно получить метаданные поставщика OIDC.

      Примечание

      Если указанный URL-адрес доступен и описание настроек OIDC по указанному URL-адресу заполнено корректно, часть полей заполнится автоматически. Если нет, заполните их вручную.

    Расширенные настройки:

    • URL авторизации (authorization_endpoint) * — URL-адрес, куда пользователи перенаправляются для аутентификации;
    • URL запроса токена (token_endpoint) * — URL-адрес для получения токенов после успешной аутентификации;
    • URL получения данных пользователя (userinfo_endpoint) * — URL-адрес, используемый для получения информации о пользователях;
    • URL ключей подписи (jwks_uri) * — URL-адрес, предоставляющий открытые ключи (JSON Web Key Set) для проверки подписи токенов;
    • URL выхода (end_session_endpoint) — URL-адрес, который используется для единого завершения сессии пользователей в рамках протокола OIDC;

    • Области доступа (scope) — атрибуты пользователя, которые могут потребоваться для его аутентификации или авторизации.
  4. Нажмите на кнопку Добавить.
  5. Измените сведения о поставщике, заполнив поля Идентификатор клиента (client_id) * и Секретный код клиента (client_secret) данными, полученными от провайдера идентификации (IdP).
  6. В правиле политики аутентификации:
    1. В поле Способ аутентификации * выберите SSO профиль или Пароль или SSO профиль.
    2. В поле SSO профиль * выберите созданный профиль SSO.

Созданный профиль SSO на базе протокола OIDC отображается в консоли администратора:

Чтобы посмотреть Адрес перенаправления на поставщика услуг, нажмите на строку с профилем SSO:

Профиль SSO на базе протокола OIDC можно изменить или удалить.