Добавление аутентификации через SAML

Провайдер SAML - это единая точка входа пользователей в распределенной системе, позволяющей аутентифицироваться в разных и несвязных между собой частях системы посредством веб-браузера. Независимо от того, какой используется тип биндинга (binding), всегда происходит перенаправление на страницу аутентификации «Провайдер SAML».

Для добавления аутентификации через SAML администратору Termidesk следует перейти «Компоненты - Домены аутентификации», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «SAML».

Затем необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.

Данные для добавления аутентификации через SAML

ПараметрОписание
«Название»Текстовое наименование домена аутентификации
«Комментарий»Информационное сообщение, используемое для описания назначения источника сведений о субъектах и их полномочиях
«Приоритет»

Приоритет использования домена аутентификации при проверке субъекта и его полномочий.

Порядок отображения доменов зависит от приоритета домена и его наименования:

  • чем ниже приоритет, тем выше домен в списке;
  • при наличии доменов с одинаковым приоритетом действует сортировка по алфавиту
«Метка»

Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk.

Начиная с Termidesk версии 5.1 поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание)

«Субъекты»

Выбор субъектов, для которых будет доступен домен аутентификации. 

Возможные значения:

  • «Все» - домен аутентификации будет доступен как для пользователей, так и для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале администратора», «Портале пользователя», «Портале универсальном», и при подключении из компонента «Клиент»;
  • «Администраторы и персонал» - домен аутентификации будет доступен только для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен только на «Портале администратора» или «Портале универсальном»;
  • «Пользователи» - домен аутентификации будет доступен только для пользователей. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале пользователя», «Портале универсальном» или при подключении пользователя из компонента «Клиент»;
  • «Система» - домен аутентификации не будет доступен ни для пользователей, ни для администраторов и персонала
«Порталы»

Выбор порталов фермы Termidesk, для которых будет доступен домен аутентификации. Если портал не выбран, то домен аутентификации не будет доступен для него.

В списке доступных значений отображаются все узлы со страницы «Инфраструктура - Порталы» с их полным доменным именем.

Администратору нужно выбирать узел в соответствии со значением, указанным в параметре «Субъекты».

Примеры:

  • если в параметре «Субъекты» указано «Пользователи», то в параметре «Порталы» должен быть выбран узел, соответствующий либо «Порталу пользователя», либо «Порталу универсальному»;
  • если в параметре «Субъекты» указано «Администраторы и персонал», в параметре «Порталы» должен быть выбран узел, соответствующий либо «Порталу администратора», либо «Порталу универсальному»;
  • если в параметре «Субъекты» указано «Все», то в параметре «Порталы» может быть выбран узел, соответствующий либо «Порталу пользователя», либо «Порталу администратора», либо «Порталу универсальному». Значение выбирается исходя из потребностей в разделении доменов аутентификации для того или иного субъекта.

При изменении списка узлов на странице «Инфраструктура - Порталы»:

  • если узел удален, то он автоматически удалится из списка доступных значений для этого параметра. Уже назначенное значение удалится из свойств домена аутентификации;
  • если узел добавлен, то он автоматически добавится в список доступных значений для этого параметра, но не будет автоматически выбран для использования.

В случае, если в параметре «Порталы» был указан единственный узел, который затем был удален из «Инфраструктура - Порталы», то этот домен аутентификации не будет доступен ни в каком из порталов.

Для выбора всех порталов используется значение «Все»

«ID клиента»Уникальный идентификатор клиента на сервисе аутентификации SAML
«URL метаданных»URL для подключения к сервису аутентификации SAML
«Проверка SSL»Строгая проверка SSL-сертификатов
«Тип Биндинга»Способ отправки ответа сервисом SAML на запрос аутентификации. Поддерживаются следующие типы: HTTP-Redirect, HTTP-POST
«Тип Биндинга в ответе»Выбор типа биндинга для обратного перенаправления в SAML-запросе. Поддерживаются следующие типы: HTTP-Redirect, HTTP-POST
«Приватный ключ»Набор символов приватного ключа для подписи SAML-запросов
«Формат Name ID»Формат сопоставления идентификаторов имен SAML у поставщиков удостоверений и поставщиков услуг
«Group Attr Name»Тип атрибута пользователя (обычно в этом поле указывается значение «Group»)
«Время ожидания соединения, с»Время ожидания ответа от SAML, в секундах
«Метадомен аутентификации»

Выбор метадомена аутентификации, в который будет входить добавляемый домен.

Метадомен аутентификации должен быть предварительно создан (см. подраздел Добавление метадомена аутентификации)

«Динамическая проверка членства пользователя в группах»

Управление динамической проверкой вхождения пользователя в группу службы каталогов.

Параметр определяет, как будет происходить проверка нахождения пользователя в группе службы каталогов при аутентификации в Termidesk и получении ресурсов.

Особенности функционирования:

  • если пользователю уже назначено РМ, то проверяется вхождение пользователя в группу, указанную в свойствах фонда РМ. Проверка выполняется каждый раз при доступе к ресурсу. При этом если у пользователя отозваны права на доступ, то он:
    • либо не увидит скрытый ресурс в зависимости от настройки «Скрывать недоступные ресурсы»;
    • либо увидит, но не сможет получить доступ к нему;
    • либо получит доступ к назначенному РМ, если права доступа были назначены на другую группу, в которую входит пользователь и которая указана в свойствах фонда РМ;
    • либо получит доступ к назначенному РМ, если оно назначено на учетную запись пользователя напрямую.

Возможные значения:

  • «Режим совместимости 6.0» (по умолчанию) - при аутентификации пользователя происходит запрос к службе каталогов для проверки его вхождения в группы. После этого группы пользователя актуализируются в БД.  При попытке получить ресурс из фонда доступ определяется на основе информации из БД (БД не обновляется);
  • «Периодическое обновление» - если пользователя нет в БД и он впервые аутентифицируется, то происходит запрос к службе каталогов для получения актуальной информации о нем. Если пользователь есть в БД, то информация берется из нее. Актуализация пользователей и групп для всех доменов аутентификации с этим значением выполняется периодической фоновой задачей раз в 24 часа;
  • «Динамическая проверка» - если пользователя нет в БД и он впервые аутентифицируется, то происходит запрос к службе каталогов для получения актуальной информации о нем. Если пользователь есть в БД, то информация берется из нее.

При обращении к службе каталогов информация о полученных группах кешируется во внутренней памяти. Время кеширования определяется системным параметром «Таймаут кеша хранения групп домена, с»

Для работы с сертификатами при получении метаданных от домена аутентификации SAML необходимо установить корневой сертификат центра сертификации и настроить Termidesk на работу с сертификатами (см. подраздел Установка корневого сертификата центра сертификации).