¶ Введение
Технология единого входа (SSO, Single Sign-On) позволяет пользователю получить доступ ĸ ĸонференциям, используя корпоративные логин и пароль. SSO DION основан на языĸе разметĸи утверждений безопасности SAML 2.0.
DION поддерживает только SP-initiated SSO. IDP-initiated SSO не поддерживается.
¶ Перед подĸлючением
Для входа нужно использовать адрес ĸорпоративной почты, чтобы идентифицировать пользователей вашей организации и перенаправить ĸ нужному поставщиĸу идентифиĸации. Если пользователь еще не зарегистрирован в DION, система создаст учётную запись автоматичесĸи при первой успешной SSO-авторизации.
Данные в карточках пользователей DION (ФИО, адрес электронной почты) будут обновляться при каждом новом входе через Keycloak, только если в настройках административной панели пользователям запрещено менять собственные данные вручную. Если ручная смена данных разрешена, ФИО и адрес электронной почты будут записаны один раз при регистрации пользователя.
¶ Настройка интеграции с Keycloak
Чтобы настроить интеграцию, выполните следующие действия.
¶ Создание нового пространства (Realm)
В панели управления Keycloak войдите в аккаунт администратора (Administration Console) и создайте Realm для DION.
¶ Подключение к каталогу пользователей
Чтобы настроить взаимодействие Keycloak с LDAP-каталогом:
-
Перейдите в раздел User Federation и настройте параметры согласно примеру:
-
Заполните поля по образцу. В поле Bind DN введите путь до пользователя, под которым будет производится доступ к LDAP-каталогу.
-
Проверьте подключение через Test Connection и Test Authentication. После успешного прохождения теста, переходите к настройке области поиска пользователей и другим параметрам провайдера, например:
-
В настройках LDAP провайдера перейдите во вкладку Mappers.
a. Создайте два сопоставителя (Mapper), отвечающих за передачу имени пользователя и адреса электронной почты из LDAP-каталога. Эти поля будут переданы в DION для идентификации пользователя и отображения информации в профиле.
b. В LDAP Attribute укажите имя поля LDAP-объекта, в котором содержится полное имя пользователя. Оно будет отображаться в DION в поле ФИО.
c. Проверьте успешность синхронизации пользователей. Перейдите в раздел Users и найдите существующие учётные записи в LDAP-каталоге. В результате должны отобразиться все найденные пользователи, соответствующие заданным параметрам.
¶ Создание клиента
Чтобы создать нового клиента:
-
Перейдите в раздел Clients и заполните поля по нижеследующему образцу. При копировании строк замените
YourDomain.comна имя вашего домена.
-
В поле Client ID укажите
https://api-clients-dion.YourDomain.com/v1/auth/sso/saml.
-
Заполните следующие поля:
- Root URL:
https://api-clients-dion.YourDomain.com - Home URL:
https://api-clients-dion.YourDomain.com/v1/auth/sso/saml - Valid redirect URIs:
https://api-clients-dion.YourDomain.com/*https://dion.YourDomain.com/*
- Valid podt logout redirect URIs:
https://dion.YourDomain.com - Master SAML processing URL:
https://api-clients-dion.YourDomain.com/v1/auth/sso/saml
- Root URL:
-
Создайте два сопоставителя (Mapper) типа User Attribute со следующими параметрами SAML Atrtribute Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
.png)
Разделы Roles, Sessions и Advanced оставьте без изменений.
¶ Настройки пространства (Realm Settings)
Перейдите в раздел Realm Settings и скопируйте ссылку на метаданные SAML 2.0 Identity Provider Metadata. Она потребуется для настроек в административной панели DION.
Ссылка на страницу входа: https://ваш_домен/realms/ваш_realm_dion/protocol/saml
Обратите внимание, что имя realm в этой ссылке чувствительно к регистру!
Если realm называется DION, ссылка должна выглядеть так:
https://ваш\_домен/realms/DION/protocol/saml.
¶ Настройка провайдера аутентификации в административной панели Dion
Произведите настройку провайдера аутентификации в административной панели Dion:
-
Перейдите в раздел Организации -> <Ваш домен> -> Общие настройки -> Провайдеры аутентификации -> Добавить провайдер -> Вход по SSO.
-
В настройках провайдера укажите параметры Keycloak, например:
Пример:Параметр Значение idp_issuer YourDomainidp_meta_url https://YourDomain.com/realms/dion/protocol/saml/descriptoridp_url https://YourDomain.com/realms/dion/protocol/saml/sp_back_url https://api-clients-dion.YourDomain.com/v1/auth/sso/saml
После успешной настройки Keycloak можно использовать вход в DION по SSO.
Если у вас возникнут вопросы или трудности с настройкой SSO, обращайтесь в нашу службу технической поддержки по адресу
support@diongo.ruс темой письма ONPREM / SSO / <Название организации>.