Налаштування протоколу SAML

IPI Enterprise Server – Протокол SAML

Сервер IPI Enterprise Server (IES) підтримує стандарт SAML 2.0 (Security Assertion Markup Language) для автентифікації користувачів.

Сервер IES — це IdP (Identity Provider), який дозволяє використовувати Систему Єдиного Входу (SSO) для всіх вебдодатків (які своєю чергою іменуються як SP, Service Provider), що підтримують SAML. Оскільки IES підтримує безпарольну авторизацію FIDO2, постачальники послуг автоматично отримують можливість авторизуватися за допомогою апаратних ключів безпеки без необхідності створювати та вводити паролі.

Параметри входу які підтримуються на сервері IES:

Identity Provider та Service Provider повинні обмінюватися сертифікатами публічних ключів (асиметричне шифрування), адресами для запитів та іншими параметрами для встановлення згоди між ними.

To set up IPI Server as an IdP, follow these steps:

Коли користувач входить у програму через SAML, IPI (як IdP) передає запит SAML у браузер користувача, яке потім пересилається до веб-програми ( Сервіс провайдра, SP). Потім IPI Server автентифікує користувача.

Налаштування сервера IPI як постачальника ідентифікаційної інформації (IdP)

Сервер IPI (IdP) і постачальники послуг (SP, тобто веб-додатки) повинні обмінюватися сертифікатами відкритих ключів або метаданими.

Для того, щоб отримати метадані IdP, які будуть використовуватися для налаштування SAML на стороні Сервіс Провайдера (SP):

  1. Перейдіть до Параметри → Налаштування → SAML

  2. Тут ви можете отримати необхідні дані, які ви повинні надати своєму постачальнику послуг (SP):

  • Завантажити метадані

  • Переглянути метадані

  • Завантажити сертифікат

Додавання Постачальника послуг (SP, Service Provider)

  1. Натисніть Додати постачальника послуг

  1. У відкритому файлі вкладки відповідні поля:

Емітент – випадкове унікальне ім’я SP, яке потрібно скопіювати з налаштувань SP або витягти з файлу метаданих.

Ствердження споживчої служби - адреса логіну на стороні постачальника послуг. Переспрямування здійснюється на цю адресу після успішного входу через службу адреса входу на стороні постачальника послуг. Переспрямування здійснюється на цю адресу після успішного входу через службу IdP.

Служба єдиного виходу - адреса для виходу з акаунта. Якщо ви виходите з IdP, ця URL-адреса відкривається в циклі для всіх SP. Public x509 Certificate - публічний сертифікат постачальника послуг Також ви можете змінити ці параметри або видалити постачальника послуг. Просто виберіть потрібного постачальника послуг і натисніть відповідну кнопку Редагувати або Видалити.

Деякі постачальники послуг надають користувачам файли метаданих.

У цьому випадку всі необхідні поля будуть заповнені автоматично після імпорту файлу метаданих. В іншому випадку ви можете налаштувати параметри вручну.

Тоді налаштування залежать від конкретного постачальника послуг.

Ви можете завантажити файли метаданих зі свого комп’ютера:

Оскільки Identity Provider і Service Provider можуть використовувати різні ідентифікатори для користувачів, потрібен механізм зіставлення цих ідентифікаторів.

Це потрібно для того, щоб встановити однозначну відповідність між користувачами в обох службах. Ідентифікатором користувача (логіном) у IES є його електронна адреса, хоча в інших системах це може бути щось інше (наприклад, комбінація імені та прізвища користувача).

Відображення атрибутів

Коли користувач аутентифікується за допомогою SAML, IPI Server генерує SAML-твердження, яке містить інформацію про користувача (наприклад, його ім'я, електронну пошту, ролі тощо). Відображення атрибутів визначає, як ці атрибути зіставляються і передаються від IPI Server (IdP) до SP, і як вони згодом використовуються SP для авторизації та контролю доступу.

NameID формат - Формат поля, яке ідентифікує користувача. NameID значення - вибір поля, звідки можна взяти ідентифікатор користувача.

Атрибути твердження

Ці атрибути надаються сервером IPI (IdP) в SAML-затвердженні постачальнику послуг (SP) під час процесу автентифікації. Постачальник послуг використовує ці атрибути для прийняття рішень щодо авторизації та персоналізації роботи користувача в додатку.

Імена та формати атрибутів зазвичай визначаються та узгоджуються між IPI Server (IdP) та SP під час конфігурації інтеграції SAML. Це забезпечує безперебійний обмін інформацією між двома організаціями.

Відображення атрибутів і атрибути твердження можуть бути налаштовані автоматично після завантаження файлу метаданих.

Після заповнення та збереження всіх налаштувань ви можете перевірити інтеграцію, увійшовши до постачальника послуг. Ви повинні будете перенаправлені на сторінку автентифікації IES, де вам потрібно буде ввести своє ім’я користувача (електронну адресу) і пройти перевірку ключа безпеки.

Будь ласка, ознайомтеся з деякими прикладами налаштувати IPI як IdP у вебсервісах:

Нижче наведено список вебдодатків (SP), де IPI Server можна використовувати як постачальник ідентифікаційної інформації (IdP):

While the list provided is not exhaustive, each web service may have its own specific configuration. If you require assistance in integrating your web app with IPI Server using SAML, don't hesitate to contact us. We're here to help.

Last updated