2.3.8 Провайдеры¶
Раздел представляет внешних провайдеров идентификации, через которых пользователи могут заходить в клиентскую систему (Рис. 2.133).
Настроена идентификация для следующих внешних провайдеров:
- OIDC провайдер (
Open ID Connect
); - ЕСИА провайдер (
Единая Система Идентификации и Авторизации
).
2.3.8.1 Создание провайдера¶
Перейдите на страницу:
.
Нажмите на кнопку «Создать». Выберите требуемый провайдер, из списка доступных (Рис. 2.134 или Рис. 2.135).
В открывшемся окне «Создание провайдера идентификации» заполните поля:
- URI перенаправления – URI перенаправления, используемый при конфигурации провайдера;
- Имя провайдера – имя, однозначно идентифицирующее провайдера. Так же используется в URI перенаправления;
- Отображаемое имя – отображаемое имя провайдера идентификации.
Проставьте «галочки» включено/выключено в полях:
- Активность – признак активности провайдера идентификации;
- Аутентифицировать по умолчанию – если включено, то система попытается аутентифицировать пользователя через этот провайдер до показа окна входа;
- Сохранять токены – должны ли токены сохраняться после аутентификации пользователей;
- Разрешить читать сохраненные токены – могут ли новые пользователи читать сохраненные токены;
- Доверять email – если включено, то email, предоставленный провайдером, считается верным и не проверяется, даже если это указано в настройках домена;
- Использовать только для связи аккаунтов – если включено, провайдер будет использоваться только для связи аккаунтов;
- Скрывать на странице входа – если включено, то провайдер будет скрыт на странице входа.
Введите данные в полях:
Порядок выбора – порядок (позиция) в которой отображается данный провайдер в окне (мин.1, макс 100);
Поток первичного входа – поток событий первичной аутентификации пользователя через провайдера идентификации (в выпадающем списке отображаются типы управления поведенческой аутентификации;
Описание дано в Управление поведением аутентификации данного руководства.
Поток после входа – поток событий, срабатывающий после каждого входа пользователя через провайдера идентификации (в выпадающем списке отображаются типы управления поведенческой аутентификации.
Описание дано в Управление поведением аутентификации данного руководства).
Нажмите на кнопку «Создать».
2.3.8.2 Изменение данных провайдера ЕСИА¶
Перейдите на страницу:
.
Нажмите на кнопку «i» в конце строки редактируемого провайдера. Произойдет переход на страницу вкладки «Основное» (Рис. 2.136).
Нажмите на кнопку «Изменить», после чего параметры данной вкладки станут доступными для редактирования.
Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».
Примечание.
Перечень и обозначения параметров см. в ??? «Провайдеры. Создание провайдера» данного руководства.
2.3.8.2.1 Конфигурация провайдера¶
Перейдите на страницу:
.
Нажмите на кнопку «i» напротив редактируемого провайдера. Перейдите на вкладку «Конфигурация провайдера» (Рис. 2.137).
Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».
Нажмите на кнопку «Изменить», после чего параметры данной вкладки станут доступными для редактирования:
- URL ЕСИА – базовый URL ЕСИА;
- Идентификатор клиента – идентификатор клиента, зарегистрированный в провайдере;
- Издатель – идентификатор издателя ответа, если не указан, то не проверяется;
- Отключить информацию о пользователе (флаг) – если включена «галочка», то информация о пользователе не будет отображаться;
- Области по умолчанию – области, посылаемые провайдеру при запросе авторизации. По умолчанию «openid». (например, ФИО, эл. почта, номер мобильного телефона и т.д.);
- «Проверять области» (флаг) - если включена, значит система будет проверять подписи провайдера;
- Публичный ключ для проверки – публичный ключ в формате РЕМ, используемый для проверки подписей.
2.3.8.2.2 Отображения¶
Во вкладке отображения находится информация (Рис. 2.138), которая попадает в систему от внешнего провайдера – атрибут или роль для пользователя, с дальнейшим преобразованием данных из токена в атрибуты пользователя.
Кроме того, возможно автоматическое назначение роли пользователю, при входе в систему.
2.3.8.2.3 Создание отображения¶
Перейдите на страницу:
.
Нажмите на кнопку «i» напротив редактируемого провайдера. Перейдите на вкладку «Отображения». Нажмите на кнопку «Создать».
Во всплывающем окне «Создание отображения» (Рис. 2.139) заполните поля:
- Наименование;
- Тип отображения (выбрать из списка):
- Добавить атрибут;
- Добавить роль;
- Отображение утверждения в атрибут пользователя;
- Отображение утверджения в роль пользователя;
- Отображение в модель пользователя с использованием шаблона.
В зависимости от выбранного типа отображения далее заполняются поля:
для типа «Добавить атрибут»:
Наименование атрибута – наименование атрибута пользователя;
Значение атрибута – значение, устанавливаемое для данного атрибута пользователя.
для типа «Добавить роль»:
Роль – роль, которая автоматически назначается пользователю при входе через провайдера идентификации. При раскрытии строки открывается окно «Выбор роли», где необходимо назначить роли уровня домена и роли уровня клиентской системы (Рис. 2.140).
для типа «Отображение утверждения в атрибут пользователя»:
Наименование утверждения – наименование утверждения в токене;
Наименование атрибута – наименование атрибута пользователя;
для типа «Отображение утверждения в роль пользователя»:
Наименование утверждения – наименование утверждения в токене;
Значение утверждения – необходимое значение для утверждения. Если утверждение является массивом, то значение должно содержаться в массиве;
Роль – роль, которая назначается пользователю при наличии утверджения.
При раскрытии строки открывается окно «Выбор роли», где необходимо назначить роли уровня домена и роли уровня клиентской системы (Рис. 2.140).
для типа «Отображение в модель пользователя с использованием шаблона»:
Шаблон – шаблон, используемый для выполнения импорта имени или атрибута пользователя, указанного при настройке отображения (фамилия, отчество, e-mail).
Заменяемые и интерпретируемые переменные находятся внутри конструкции ${}. Например:
${ALIAS}.${CLAIM.snils},
где ALIAS – идентификатор провайдера; CLAIM.<NAME> – ссылка на ID или утверждение токена доступа.
Если в шаблон добавить ${UUID}, то будет сформирован стандартизированный идентификатор;
Наименование атрибута – наименование атрибута пользователя.
Наименование атрибута выбирается из раскрывающегося списка:
- modelUserName;
- id;
- userName;
- firstName;
- patronymic;
- email.
Сохраните настройки, нажав кнопку «Создать».
2.3.8.2.4 Изменение отображения¶
Перейдите на страницу:
.
Нажмите на кнопку «i», расположенную в конце строки редактируемого провайдера. Произойдет переход на страницу провайдера, вкладку «Основное».
Откройте вкладку «Отображения». Нажмите на знак «карандашика» для
редактирования выбранного отображения. В зависимости от Типа отображения
в окне «Изменение отображения» отразится свой набор параметров,
описанных в ???
(раздел Создание параметров).
Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить» (для изменения отображения).
2.3.8.3 Изменение данных провайдера OpenID Connect¶
Перейдите на страницу:
.
Нажмите на кнопку «i» в конце строки редактируемого провайдера. Произойдет переход на страницу вкладки «Основное» (Рис. 2.141).
Нажмите на кнопку «Изменить», после чего станут доступными для редактирования параметры данной вкладки. Перечень и обозначения параметров см. в ??? п. «Провайдеры. Создание провайдера» данного руководства.
Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».
2.3.8.3.1 Конфигурация провайдера¶
Перейдите на страницу:
.
Нажмите на кнопку «i» напротив редактируемого провайдера. Перейдите на вкладку «Конфигурация провайдера» (Рис. 2.142).
Нажмите на кнопку «Изменить», после чего станут доступными для редактирования параметры данной вкладки:
URL авторизации – URL, используемый для авторизации. Например: https://www.testurl.com;
URL токена – URL, используемый для токена. Например, https://www.testurl.com;
URL выхода – URL, используемый для выхода (logout) пользователя из внешнего провайдера. Например https://www.testurl.com;
кнопка Back-Channel Logout – поддерживает ли внешний провайдер выход через Back-Channel;
кнопка Передавать login_hint – передавать login_hint провайдеру идентификации;
кнопка Передавать текущую локаль – передавать текущую локаль провайдеру идентификации в качестве параметра ui_locales;
URL сведений о пользователе – URL, используемый для получения сведений о пользователе. Например, https://www.testurl.com ;
Идентификатор клиента – идентификатор клиента, зарегистрированный в провайдере. Например: my-client;
Пароль клиента – пароль клиента (Client Secret), зарегистрированный в провайдере;
Издатель – идентификатор издателя ответа, если не указан, то не проверяется;
Области по умолчанию – области, посылаемые провайдеру при запросе авторизации, разделяются запятой.
По умолчанию - openid. Для ввода элементов используйте клавишу Enter;
Запрос – определяет, спрашивает ли сервер авторизации пользователя о повторной аутентификации и согласии;
На выбор:
- Не определен
- login
- consent
- select_account
кнопка Пересылать none запросы – в случае, если клиент отправляет запрос с prompt = none и пользователь еще не аутентифицирован, ошибка не будет возвращена непосредственно клиенту, а запрос с prompt = none будет перенаправлен этому провайдеру идентификации;
кнопка Проверять подписки – если включена, то будут проверятся подписки провайдера;
кнопка Публичный ключ для проверки – публичный ключ в формате PEM, используемый для проверки подписей;
Проверять только для ключа с ID – идентификатор ключа, для которого будет выполняться проверка;
Допустимый сдвиг времени, сек – сдвиг времени в секундах, допустимый при проверке токенов провайдера идентификации. Значение по умолчанию равно нулю (мин. 0, макс. 600);
Пробрасываемые параметры – параметры пересылки во внешний IDP из исходного запроса приложения, к конечной точке авторизации.
Можно ввести несколько параметров через запятую. Для ввода элементов используйте клавишу <Enter>.
Отредактируйте требуемые параметры и нажмите на кнопку «Сохранить».
2.3.8.3.2 Отображения¶
см. раздел Отображения провайдера ЕСИА. => ???