2.3.8 Провайдеры

Раздел представляет внешних провайдеров идентификации, через которых пользователи могут заходить в клиентскую систему (Рис. 2.133).

Настроена идентификация для следующих внешних провайдеров:

  • OIDC провайдер (Open ID Connect);
  • ЕСИА провайдер (Единая Система Идентификации и Авторизации).
../../_images/image127.png

Рис. 2.133 Окно раздела «Провайдеры»

2.3.8.1 Создание провайдера

Перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Провайдеры.

Нажмите на кнопку «Создать». Выберите требуемый провайдер, из списка доступных (Рис. 2.134 или Рис. 2.135).

../../_images/image128_1.png

Рис. 2.134 Окно создания провайдера идентификации (OIDC)

../../_images/image128_2.png

Рис. 2.135 Окно создания провайдера идентификации (ЕСИА)

В открывшемся окне «Создание провайдера идентификации» заполните поля:

  • URI перенаправления – URI перенаправления, используемый при конфигурации провайдера;
  • Имя провайдера – имя, однозначно идентифицирующее провайдера. Так же используется в URI перенаправления;
  • Отображаемое имя – отображаемое имя провайдера идентификации.

Проставьте «галочки» включено/выключено в полях:

  • Активность – признак активности провайдера идентификации;
  • Аутентифицировать по умолчанию – если включено, то система попытается аутентифицировать пользователя через этот провайдер до показа окна входа;
  • Сохранять токены – должны ли токены сохраняться после аутентификации пользователей;
  • Разрешить читать сохраненные токены – могут ли новые пользователи читать сохраненные токены;
  • Доверять email – если включено, то email, предоставленный провайдером, считается верным и не проверяется, даже если это указано в настройках домена;
  • Использовать только для связи аккаунтов – если включено, провайдер будет использоваться только для связи аккаунтов;
  • Скрывать на странице входа – если включено, то провайдер будет скрыт на странице входа.

Введите данные в полях:

  • Порядок выбора – порядок (позиция) в которой отображается данный провайдер в окне (мин.1, макс 100);

  • Поток первичного входа – поток событий первичной аутентификации пользователя через провайдера идентификации (в выпадающем списке отображаются типы управления поведенческой аутентификации;

    Описание дано в Управление поведением аутентификации данного руководства.

  • Поток после входа – поток событий, срабатывающий после каждого входа пользователя через провайдера идентификации (в выпадающем списке отображаются типы управления поведенческой аутентификации.

    Описание дано в Управление поведением аутентификации данного руководства).

Нажмите на кнопку «Создать».

2.3.8.2 Изменение данных провайдера ЕСИА

Перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Провайдеры.

Нажмите на кнопку «i» в конце строки редактируемого провайдера. Произойдет переход на страницу вкладки «Основное» (Рис. 2.136).

../../_images/image130.png

Рис. 2.136 Раздел «Провайдеры», редактирование основных параметров ЕСИА

Нажмите на кнопку «Изменить», после чего параметры данной вкладки станут доступными для редактирования.

Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».

Примечание.

Перечень и обозначения параметров см. в ??? «Провайдеры. Создание провайдера» данного руководства.

2.3.8.2.1 Конфигурация провайдера

Перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Провайдеры.

Нажмите на кнопку «i» напротив редактируемого провайдера. Перейдите на вкладку «Конфигурация провайдера» (Рис. 2.137).

../../_images/image131.png

Рис. 2.137 Вкладка «Конфигурация провайдера ЕСИА» раздела «Провайдеры»

Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».

Нажмите на кнопку «Изменить», после чего параметры данной вкладки станут доступными для редактирования:

  • URL ЕСИА – базовый URL ЕСИА;
  • Идентификатор клиента – идентификатор клиента, зарегистрированный в провайдере;
  • Издатель – идентификатор издателя ответа, если не указан, то не проверяется;
  • Отключить информацию о пользователе (флаг) – если включена «галочка», то информация о пользователе не будет отображаться;
  • Области по умолчанию – области, посылаемые провайдеру при запросе авторизации. По умолчанию «openid». (например, ФИО, эл. почта, номер мобильного телефона и т.д.);
  • «Проверять области» (флаг) - если включена, значит система будет проверять подписи провайдера;
  • Публичный ключ для проверки – публичный ключ в формате РЕМ, используемый для проверки подписей.

2.3.8.2.2 Отображения

Во вкладке отображения находится информация (Рис. 2.138), которая попадает в систему от внешнего провайдера – атрибут или роль для пользователя, с дальнейшим преобразованием данных из токена в атрибуты пользователя.

Кроме того, возможно автоматическое назначение роли пользователю, при входе в систему.

../../_images/image132.png

Рис. 2.138 Вкладка «Отображения» раздела «Провайдеры»

2.3.8.2.3 Создание отображения

Перейдите на страницу:

Домены>> Имя домена>> Безопасность>> Провайдеры.

Нажмите на кнопку «i» напротив редактируемого провайдера. Перейдите на вкладку «Отображения». Нажмите на кнопку «Создать».

../../_images/image133.png

Рис. 2.139 Окно «Создание отображения»

Во всплывающем окне «Создание отображения» (Рис. 2.139) заполните поля:

  • Наименование;
  • Тип отображения (выбрать из списка):
    • Добавить атрибут;
    • Добавить роль;
    • Отображение утверждения в атрибут пользователя;
    • Отображение утверджения в роль пользователя;
    • Отображение в модель пользователя с использованием шаблона.

В зависимости от выбранного типа отображения далее заполняются поля:

  • для типа «Добавить атрибут»:

    Наименование атрибута – наименование атрибута пользователя;

    Значение атрибута – значение, устанавливаемое для данного атрибута пользователя.

  • для типа «Добавить роль»:

    Роль – роль, которая автоматически назначается пользователю при входе через провайдера идентификации. При раскрытии строки открывается окно «Выбор роли», где необходимо назначить роли уровня домена и роли уровня клиентской системы (Рис. 2.140).

  • для типа «Отображение утверждения в атрибут пользователя»:

    Наименование утверждения – наименование утверждения в токене;

    Наименование атрибута – наименование атрибута пользователя;

  • для типа «Отображение утверждения в роль пользователя»:

    Наименование утверждения – наименование утверждения в токене;

    Значение утверждения – необходимое значение для утверждения. Если утверждение является массивом, то значение должно содержаться в массиве;

    Роль – роль, которая назначается пользователю при наличии утверджения.

    При раскрытии строки открывается окно «Выбор роли», где необходимо назначить роли уровня домена и роли уровня клиентской системы (Рис. 2.140).

    ../../_images/image134.png

    Рис. 2.140 Изменение отображения (Выбор роли)

  • для типа «Отображение в модель пользователя с использованием шаблона»:

  • Шаблон – шаблон, используемый для выполнения импорта имени или атрибута пользователя, указанного при настройке отображения (фамилия, отчество, e-mail).

    Заменяемые и интерпретируемые переменные находятся внутри конструкции ${}. Например:

    ${ALIAS}.${CLAIM.snils},

    где ALIAS – идентификатор провайдера; CLAIM.<NAME> – ссылка на ID или утверждение токена доступа.

    Если в шаблон добавить ${UUID}, то будет сформирован стандартизированный идентификатор;

  • Наименование атрибута – наименование атрибута пользователя.

Наименование атрибута выбирается из раскрывающегося списка:

  • modelUserName;
  • id;
  • userName;
  • firstName;
  • patronymic;
  • email.

Сохраните настройки, нажав кнопку «Создать».

2.3.8.2.4 Изменение отображения

Перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Провайдеры.

Нажмите на кнопку «i», расположенную в конце строки редактируемого провайдера. Произойдет переход на страницу провайдера, вкладку «Основное».

Откройте вкладку «Отображения». Нажмите на знак «карандашика» для редактирования выбранного отображения. В зависимости от Типа отображения в окне «Изменение отображения» отразится свой набор параметров, описанных в ??? (раздел Создание параметров).

Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить» (для изменения отображения).

2.3.8.3 Изменение данных провайдера OpenID Connect

Перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Провайдеры.

Нажмите на кнопку «i» в конце строки редактируемого провайдера. Произойдет переход на страницу вкладки «Основное» (Рис. 2.141).

../../_images/image646.png

Рис. 2.141 Раздел «Провайдеры» (редактирование основных параметров OIDC)

Нажмите на кнопку «Изменить», после чего станут доступными для редактирования параметры данной вкладки. Перечень и обозначения параметров см. в ??? п. «Провайдеры. Создание провайдера» данного руководства.

Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».

2.3.8.3.1 Конфигурация провайдера

Перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Провайдеры.

Нажмите на кнопку «i» напротив редактируемого провайдера. Перейдите на вкладку «Конфигурация провайдера» (Рис. 2.142).

../../_images/image647.png

Рис. 2.142 Вкладка «Конфигурация провайдера OIDC» раздела «Провайдеры»

Нажмите на кнопку «Изменить», после чего станут доступными для редактирования параметры данной вкладки:

  • URL авторизации – URL, используемый для авторизации. Например: https://www.testurl.com;

  • URL токена – URL, используемый для токена. Например, https://www.testurl.com;

  • URL выхода – URL, используемый для выхода (logout) пользователя из внешнего провайдера. Например https://www.testurl.com;

  • кнопка Back-Channel Logout – поддерживает ли внешний провайдер выход через Back-Channel;

  • кнопка Передавать login_hint – передавать login_hint провайдеру идентификации;

  • кнопка Передавать текущую локаль – передавать текущую локаль провайдеру идентификации в качестве параметра ui_locales;

  • URL сведений о пользователе – URL, используемый для получения сведений о пользователе. Например, https://www.testurl.com ;

  • Идентификатор клиента – идентификатор клиента, зарегистрированный в провайдере. Например: my-client;

  • Пароль клиента – пароль клиента (Client Secret), зарегистрированный в провайдере;

  • Издатель – идентификатор издателя ответа, если не указан, то не проверяется;

  • Области по умолчанию – области, посылаемые провайдеру при запросе авторизации, разделяются запятой.

    По умолчанию - openid. Для ввода элементов используйте клавишу Enter;

  • Запрос – определяет, спрашивает ли сервер авторизации пользователя о повторной аутентификации и согласии;

    На выбор:

    • Не определен
    • login
    • consent
    • select_account

  • кнопка Пересылать none запросы – в случае, если клиент отправляет запрос с prompt = none и пользователь еще не аутентифицирован, ошибка не будет возвращена непосредственно клиенту, а запрос с prompt = none будет перенаправлен этому провайдеру идентификации;

  • кнопка Проверять подписки – если включена, то будут проверятся подписки провайдера;

  • кнопка Публичный ключ для проверки – публичный ключ в формате PEM, используемый для проверки подписей;

  • Проверять только для ключа с ID – идентификатор ключа, для которого будет выполняться проверка;

  • Допустимый сдвиг времени, сек – сдвиг времени в секундах, допустимый при проверке токенов провайдера идентификации. Значение по умолчанию равно нулю (мин. 0, макс. 600);

  • Пробрасываемые параметры – параметры пересылки во внешний IDP из исходного запроса приложения, к конечной точке авторизации.

    Можно ввести несколько параметров через запятую. Для ввода элементов используйте клавишу <Enter>.

Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».

2.3.8.3.2 Отображения

см. раздел Отображения провайдера ЕСИА. => ???