Настройки SSO
Настройка единого входа (SSO) в Security Center
Если у вас есть корпоративный провайдер идентификации, поддерживающий протокол OIDC (OpenID Connect), или вы используете провайдера SSO, который также работает с протоколом OIDC (например, Okta, Auth0, Google Identity Platform, Microsoft identity platform, GitLab, Azure AD, AWS Cognito, Duo Security и другие), вы можете настроить функцию единого входа (SSO) для вашего Security Center.
Вы можете автоматически синхронизировать роли, назначенные пользователям в корпоративной идентификации или у поставщика SSO, настроив соответствующее сопоставление.
Аутентификация через SSO позволяет пользователям входить в Security Center без необходимости запоминать отдельные учетные данные.
Процесс настройки включает в себя следующие шаги:
Добавьте приложение "Security Center" в качестве клиента в настройках вашего провайдера SSO.
Перейдите в административную панель Security Center: Настройки -> Пользователи и роли -> Интеграция SSO
На правой панели выберите Добавить SSO (+ SSO)
В разделе "Настройки SSO" введите параметры: Название: Укажите название для интеграции SSO. Это название будет отображаться в процессе входа в систему. Домен: Введите домен вашего поставщика услуг SSO. ID клиента: Введите полученный от провайдера ID клиента для настроек подключения SSO. Клиентский секрет: Введите полученный от провайдера клиентский секрет для настроек подключения SSO. URL метаданных сервера: Если URL-адрес метаданных вашего провайдера не является уникальным, вы можете оставить это поле со значением по умолчанию. Область действия: По умолчанию в область действия входят параметры OpenID, электронной почты и профиля. При необходимости вы можете удалить определенные параметры. Использовать самоподписанный сертификат: Если это необходимо для вашей установки, включите эту опцию. Разрешенные домены электронной почты: При необходимости введите разрешенные домены электронной почты в виде списка, разделенного запятыми. Роли: При необходимости выберите роли из выпадающего списка, которые будут назначены каждому пользователю, прошедшему аутентификацию с помощью этого метода.
Нажмите "Создать"
Убедитесь, что процесс аутентификации и авторизации работает правильно и что пользователи могут безопасно и удобно получить доступ к Security Center.
Сопоставление ролей
Если в провайдере SSO для пользователей настроены роли, то в Security Center пользователю будет назначена определенная роль на основе настроенного сопоставления.
Если в провайдере не настроены роли или если в Security Center не задано сопоставление, пользователю автоматически назначаются роли, которые вы указали в шаге 4 при настройке SSO.
Проверка сопоставления происходит при каждом входе пользователя в систему. Другими словами, если на стороне провайдера для пользователя добавляется или удаляется роль, его роли на портале будут корректироваться в соответствии с сопоставлением и новой информацией, полученной от провайдера при каждом входе в систему.
Выполните следующие действия, чтобы настроить сопоставление:
Заполните поле «JSON-ключ в JWT-токене со списком внешних групп» именем ключа, по которому Security Center может получить список внешних групп. Это могут быть группы или роли, в зависимости от того, какая система используется
Создайте сопоставление для всех внешних ролей
Если вы заполнили поле "JSON-ключ в JWT-токене со списком внешних групп", но не настроили сопоставление, при первом входе в систему через единый вход (SSO) в Security Center будут отображаться все роли, полученные от провайдера. Вы можете сопоставить их позже.
Last updated