Налаштування протоколу SAML

IPI Enterprise Server - Налаштування протоколу SAML

Огляд протоколу SAML для Єдиного входу до веб-сервісів

IPI Enterprise Server підтримує SAML 2.0 (Security Assertion Markup Language) для захищеної автентифікації користувачів, виступаючи в ролі постачальника ідентичностей (IdP) для єдиного входу (SSO) на веб-додатках (постачальниках послуг, SP), що підтримують SAML 2.0. Налаштування IPI Server як IdP спрощує процес входу для користувачів, які користуються інтегрованими веб-додатками.

Основні можливості

Завдяки підтримці FIDO2 для безпарольної автентифікації, IPI Server дозволяє постачальникам послуг здійснювати автентифікацію користувачів за допомогою:

  • Апаратних ключів безпеки (наприклад, IPI Key, YubiKey)

  • Passkey (наприклад, смартфони, ноутбуки)

  • Додатка IPI Authenticator

Це дозволяє уникнути введення паролів і підвищує рівень безпеки.

Підтримувані опції входу

  • Логін + пароль (не рекомендується)

  • Логін + пароль + другий фактор (апаратний ключ, OTP, мобільний автентификатор)

  • Безпарольний вхід (Логін + ключ безпеки, апаратний або платформний)

  • Безпарольний вхід без логіна (без введення логіна та пароля)

  • Апаратний або платформний ключ безпеки

  • Мобільний автентифікатор

Кроки для налаштування IPI Server як постачальника ідентичностей (IdP)

1. Налаштування IPI Server як IdP

1. Перейдіть до налаштувань SAML

  • У панелі керування IPI Server перейдіть до Параметри → Налаштування → SAML.

2. Завантаження або створення сертифіката .pfx

  • Сертифікат .pfx містить як публічний сертифікат, так і приватний ключ. Ви можете:

    • Завантажити існуючий сертифікат: виберіть сертифікат, введіть пароль та завантажте.

    • Створити новий самопідписаний сертифікат: натисніть Створити та завантажити, введіть пароль та завантажте.

Сертифікат з розширенням .pfx - це файл, який містить як відкритий сертифікат, так і його закритий ключ, а також повний ланцюжок сертифікатів аж до кореневого центру сертифікації (ЦС). Зазвичай файл захищений паролем і використовується для автентифікації, шифрування та встановлення безпечних з'єднань

3. Завантажте або перегляньте компоненти IdP

  1. Публічний сертифікат постачальника ідентичностей (.cer): Містить лише публічний ключ і використовується для автентифікації сервера та шифрування даних.

  2. Метадані постачальника ідентичностей: Надають необхідну інформацію для взаємодії з постачальниками послуг (SP).

Відкритий сертифікат постачальника ідентифікаційних даних — це файл з розширенням .cer (або .crt), що містить лише відкритий ключ та інформацію про сертифікат, але не включає закритого ключа. Його основне призначення — автентифікація сервера або користувача та шифрування даних. Файли .cer застосовуються для захисту з'єднань, таких як HTTPS для вебсайтів, автентифікації клієнтів і серверів у мережах, а також у різних корпоративних додатках. На відміну від закритого сертифіката, відкритий сертифікат не містить закритий ключ, тому його можна безпечно зберігати у відкритому доступі.

Метадані постачальника ідентифікаційних даних (IdP) - це файл або набір даних, які надають важливу інформацію про вашого IdP, щоб забезпечити належну взаємодію з постачальниками послуг (SP) у контексті SAML (Security Assertion Markup Language). Деякі постачальники послуг надають користувачам файли з метаданими. У цьому випадку всі необхідні поля будуть заповнені автоматично після імпорту файлу метаданих. В іншому випадку ви можете налаштувати параметри вручну. У цьому випадку налаштування залежать від конкретного постачальника послуг.

2. Додайте постачальника послуг (SP)

  1. Налаштуйте параметри на стороні постачальника послуг (SP)

    • Приклад для Google Workspace:

      • Перейдіть на admin.google.com.

      • Відкрийте Меню → Безпека → Автентифікація → SSO із зовнішнім IdP.

      • У розділі Профілі сторонніх SSO натисніть Додати профіль SAML.

      • Введіть назву профілю (наприклад, "IPI Server (IdP)").

      • Вставте значення з IPI Server:

        • Ідентифікатор видавця (Issuer / IdP Entity ID) (наприклад, https://<your ipi server name>) (1)

        • URL для входу (наприклад, https://<your ipi server name>/saml/login)(2)

        • URL для виходу (наприклад, https://<your ipi server name>/saml/logout) (3)

        • Завантажте публічний сертифікат постачальника ідентичностей (.cer). (4)

  2. Додайте постачальника послуг у IPI Server

    • У IPI Server натисніть Додати постачальника послуг і введіть значення SP:

      • Назва (наприклад, "Google Workspace-SAML")

      • Ідентифікатор видавця (Issuer / SP Entity ID)

      • URL ACS

  3. Додаткові налаштування постачальника послуг

    • Служба єдиного виходу: точка входу SP для завершення сесії під час виходу. Отримайте URL зі сторінки налаштувань SP.

    • Формат ідентифікатора користувача (Name ID Format): виберіть залежно від вимог SP (Email, x509 тощо).

    • Увімкніть перевірку підпису запиту: покращує безпеку шляхом перевірки вхідних запитів SAML.

    • Атрибути твердження: налаштуйте відображення атрибутів для передачі необхідної інформації про користувача на SP.

Приклади підтримуваних додатків для інтеграції SAML:

IPI Server може бути реалізований як IdP для наступних додатків (SP):

  1. Microsoft Office 365

  2. Salesforce

  3. Slack

  4. Dropbox business

  5. Zoom

  6. Atlassian (Jira, Confluence)

  7. Amazon Web Services (AWS)

  8. GitHub

  9. GitLab

  10. Zendesk

  11. VMware

  12. Adobe Creative Cloud

  13. Box

  14. Okta

  15. Cisco Webex

Якщо вам потрібна допомога з інтеграцією вашого веб-додатка з IPI Server через SAML, звертайтеся до нас. Ми завжди готові допомогти!

PreviousНалаштування SSO для користувачівNextНалаштування протоколу OIDC (OpenID Connect)

Last updated