# Настройки SSO

Если у вас есть корпоративный провайдер идентификации, поддерживающий **протокол OIDC** (OpenID Connect), или вы используете провайдера SSO, который также работает с протоколом OIDC (например, [Okta](/security-center/general-portal-settings/sso-settings/okta-sso.md), Auth0, Google Identity Platform, [Microsoft identity platform](/security-center/general-portal-settings/sso-settings/microsoft-sso.md), [GitLab](/security-center/general-portal-settings/sso-settings/gitlab-sso.md), Azure AD, AWS Cognito, Duo Security и другие), вы можете **настроить функцию единого входа (SSO)** для вашего Security Center.

Вы можете автоматически **синхронизировать роли**, назначенные пользователям в корпоративной идентификации или у поставщика SSO, настроив [соответствующее сопоставление](#role-mapping).

Аутентификация через SSO позволяет пользователям входить в Security Center без необходимости запоминать отдельные учетные данные.

### Процесс настройки включает в себя следующие шаги:

1. Добавьте приложение "Security Center" в качестве клиента в настройках вашего провайдера SSO.
2. Перейдите в административную панель Security Center:\
   \&#xNAN;***Настройки -> Пользователи и роли -> Интеграция SSO***
3. На правой панели выберите Добавить SSO (+ SSO)
4. В разделе "Настройки SSO" введите параметры:\
   **Название**: Укажите название для интеграции SSO. Это название будет отображаться в процессе входа в систему.\
   **Домен**: Введите домен вашего поставщика услуг SSO.\
   **ID клиента**: Введите полученный от провайдера ID клиента для настроек подключения SSO.\
   **Клиентский секрет**: Введите полученный от провайдера клиентский секрет для настроек подключения SSO.\
   **URL метаданных сервера**: Если URL-адрес метаданных вашего провайдера **не является** уникальным, вы можете оставить это поле со значением по умолчанию.\
   **Область действия**: По умолчанию в область действия входят параметры OpenID, электронной почты и профиля. При необходимости вы можете удалить определенные параметры.\
   **Использовать самоподписанный сертификат**: Если это необходимо для вашей установки, включите эту опцию.\
   **Разрешенные домены электронной почты**: При необходимости введите разрешенные домены электронной почты в виде списка, разделенного запятыми.\
   **Роли**: При необходимости выберите роли из выпадающего списка, которые будут назначены каждому пользователю, прошедшему аутентификацию с помощью этого метода.
5. Нажмите "Создать"

<figure><img src="/files/EkcLAXAMZ46OedAk0abe" alt=""><figcaption></figcaption></figure>

6. Убедитесь, что процесс аутентификации и авторизации работает правильно и что пользователи могут безопасно и удобно получить доступ к Security Center.

### Сопоставление ролей

Если в провайдере SSO для пользователей настроены роли, то в Security Center пользователю будет назначена определенная роль на основе настроенного сопоставления.

Если в провайдере не настроены роли или если в Security Center не задано сопоставление, пользователю автоматически назначаются роли, которые вы указали в шаге 4 при настройке SSO.

{% hint style="success" %}
Проверка сопоставления происходит при каждом входе пользователя в систему. Другими словами, если на стороне провайдера для пользователя добавляется или удаляется роль, его роли на портале будут корректироваться в соответствии с сопоставлением и новой информацией, полученной от провайдера при каждом входе в систему.
{% endhint %}

Выполните следующие действия, чтобы настроить сопоставление:

1. Заполните поле «**JSON-ключ в JWT-токене со списком внешних групп**» именем ключа, по которому Security Center может получить список внешних групп. Это могут быть **группы** или **роли**, в зависимости от того, какая система используется

<figure><img src="/files/UioFCF2qt3sWvhuQyzqi" alt=""><figcaption><p>Пример токена SSO</p></figcaption></figure>

<figure><img src="/files/wLiXp4LjGnYHpoEZmbSX" alt=""><figcaption></figcaption></figure>

2. Нажмите кнопку "Добавить сопоставление ролей" и сопоставьте имя роли с именем вашего провайдера и Security Center:
3. Создайте сопоставление для всех внешних ролей

<figure><img src="/files/OILreIEtyBTHtopWJydn" alt=""><figcaption></figcaption></figure>

Если вы заполнили поле "J**SON-ключ в JWT-токене со списком внешних групп**", но **не** настроили **сопоставление**, при первом входе в систему через единый вход (SSO) в Security Center будут отображаться все роли, полученные от провайдера. Вы можете сопоставить их позже.

<figure><img src="/files/9wZYDMQpbADT5LLuFaFU" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.cybercodereview.ru/security-center/general-portal-settings/sso-settings.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.