Создание профиля SSO

SSO (Single Sign-On) — технология, которая позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учётных данных, и переходить между ними без повторной аутентификации.

Профиль SSO — набор настроек и данных, которые определяют, как система единого входа (SSO) будет аутентифицировать пользователей и предоставлять им доступ к приложениям и сайтам. Профиль SSO применяется ко всем пользователям в организации.

Создавать профили SSO может только пользователь с ролью Суперадминистратор.

Можно создать профили SSO двух типов:

• профиль SSO на базе протокола SAML;
• профиль SSO на базе протокола OIDC.

В одной организации может быть максимум 5 профилей SSO.

Создание профиля SSO на базе протокола SAML

SAML — протокол аутентификации, который позволяет обмениваться информацией между провайдером идентификации (IdP) и провайдером услуг (SP) через браузер пользователя.

Чтобы создать профиль SSO на базе протокола SAML:

1. В главном меню консоли перейдите в раздел Профили SSO.
2. Нажмите на кнопку Добавить или на кнопку Добавить, если в организации уже есть созданный профиль SSO.
3. Установите переключатель Профиль на базе SAML и заполните поля:

   Профиль системы единого входа на базе SAML:

   • Название * — имя профиля SSO.

   Сведения о поставщике идентификационных услуг:

   • SAML дескриптор — URL-адрес, по которому можно получить метаданные поставщика SAML;

     Примечание

     Если указанный URL-адрес доступен и описание настроек SAML по указанному URL-адресу заполнено корректно, следующие поля заполнятся автоматически. Если нет, заполните их вручную.

   • Формат NameId * — формат идентификатора, который будет использоваться для пользователей, входящих в системы компании через данный профиль SSO:
     • persistent — постоянный идентификатор, который будет сгенерирован для каждого пользователя при первом входе через SSO-профиль;
     • emailAddress — в качестве идентификатора будет использоваться email пользователя. При выборе данного формата нельзя изменить email пользователя (без создания новой учётной записи).

       Важно

       Используйте формат emailAddress, только если формат persistent не подходит по каким-либо причинам.

       Если выбран формат emailAddress, то после добавления SSO-профиля изменить этот формат на persistent невозможно.

   • Идентификатор поставщика идентификационной информации * — идентификатор провайдера аутентификации (entityID);
   • URL страницы входа * — URL-адрес, куда пользователи перенаправляются для аутентификации;
   • URL единого выхода (SLO) — URL-адрес, который используется для единого завершения сессии пользователей в рамках протокола SAML;
   • Backchannel logout — установите флажок, если нужно одновременно завершать сеанс на стороне провайдера услуг (SP) и на стороне провайдера идентификации (IdP) без участия браузера пользователя. Если провайдер идентификации (IdP) по каким-либо причинам недоступен напрямую (например, находится в закрытом контуре), не устанавливайте флажок.

   Проверочный сертификат — сертификат, который подтверждает вход в систему поставщика идентификационной информации.

4. Нажмите на кнопку и загрузите файл сертификата в формате PEM.

   Требования к сертификату

   1. Можно загрузить не более 2 сертификатов.
   2. Поддерживаются только сертификаты X.509 в формате PEM, содержащие открытый ключ.
5. Нажмите на кнопку Добавить.
6. В главном меню консоли перейдите в раздел Аккаунт → Настройки:
   1. Нажмите на кнопку Редактировать.
   2. В поле Способ аутентификации * выберите SSO профиль или Пароль или SSO профиль.
   3. В поле SSO профиль * выберите созданный профиль SSO.
   4. Нажмите на кнопку Сохранить.

Созданный профиль SSO на базе протокола SAML отображается в консоли администратора:

Чтобы посмотреть Идентификатор объекта поставщика услуг и URL ACS, нажмите на строку с профилем SSO:

Профиль SSO на базе протокола SAML можно изменить или удалить.

Проверочный сертификат профиля SSO на базе протокола SAML можно скопировать, скачать, удалить, а также добавить дополнительный проверочный сертификат. Подробнее см. в разделе Проверочный сертификат профиля SSO на базе протокола SAML.

Создание профиля SSO на базе протокола OIDC

OIDC (OpenID Connect) — протокол аутентификации, построенный на основе OAuth 2.0, который позволяет сервисам проверять личность пользователей и получать базовую информацию о пользователе в формате JSON Web Token (JWT) по данным внешнего провайдера аутентификации.

Чтобы создать профиль SSO на базе протокола OIDC:

1. В главном меню консоли перейдите в раздел Профили SSO.
2. Нажмите на кнопку Добавить или на кнопку Добавить, если в организации уже есть созданный профиль SSO.
3. Установите переключатель Профиль на базе OIDC и заполните поля:

   Профиль системы единого входа на базе OIDC:

   • Название * — имя профиля SSO.

   Сведения о поставщике идентификационных услуг:

   • OIDC дескриптор — URL-адрес, по которому можно получить метаданные поставщика OIDC;

     Примечание

     Если указанный URL-адрес доступен и описание настроек OIDC по указанному URL-адресу заполнено корректно, часть полей заполнится автоматически. Если нет, заполните их вручную.

   • Идентификатор клиента * — идентификатор, выданный провайдером аутентификации;
   • Секретный код клиента * — секретный ключ, который используется для аутентификации пользователя при взаимодействии с провайдером идентификации;
   • URL авторизации * — URL-адрес, куда пользователи перенаправляются для аутентификации (authorization_endpoint);
   • URL запроса токена * — URL-адрес для получения токенов после успешной аутентификации (token_endpoint);
   • URL запроса пользовательских данных * — URL-адрес, используемый для получения информации о пользователях (userinfo_endpoint);
   • URL запроса данных JWKS * — URL-адрес, предоставляющий открытые ключи (JSON Web Key Set) для проверки подписи токенов (jwks_uri);
   • URL единого выхода (SLO) — URL-адрес, который используется для единого завершения сессии пользователей в рамках протокола OIDC (end_session_endpoint);
   • Издатель — идентификатор провайдера аутентификации, который используется для проверки токенов (issuer);
   • Набор авторизационных данных — дополнительные параметры, которые могут потребоваться для аутентификации или авторизации пользователей.
4. Нажмите на кнопку Добавить.
5. В главном меню консоли перейдите в раздел Аккаунт → Настройки:
   1. Нажмите на кнопку Редактировать.
   2. В поле Способ аутентификации * выберите SSO профиль или Пароль или SSO профиль.
   3. В поле SSO профиль * выберите созданный профиль SSO.
   4. Нажмите на кнопку Сохранить.

Созданный профиль SSO на базе протокола OIDC отображается в консоли администратора:

Чтобы посмотреть Адрес перенаправления на поставщика услуг, нажмите на строку с профилем SSO:

Профиль SSO на базе протокола OIDC можно изменить или удалить.