Настройка SAML федерации
Cloud.ru позволяет подключать федерации удостоверений совместимые с SAML v2.0. Cloud.ru выступает поставщиком услуг и направляет пользователей проходить аутентификацию на сервере внешнего доверенного поставщика удостоверений (IdP). Вся информация о логинах, паролях пользователя проходящего аутентификацию, хранится в доверенном поставщике удостоверений.
Подробнее о протоколе в спецификации SAML v2.0 от OASIS
Перед началом работы
Для настройки SAML федерации вам потребуются:
-
Действующий сертификат с типом Signing. Сертификат используется для подписи SAML-сообщений, которыми обмениваются доверенный поставщик удостоверений (IdP) и поставщик услуг — Cloud.ru. Подпись служит доказательством того, что сообщение является подлинным и в него не внесены изменения третьей стороной.
ПримечаниеОбратите внимание, сертификат с типом Encryption, использующийся для шифрования сообщений, для федераций не поддерживается. Для работы федерации обязательно должен быть загружен действующий сертификат с типом Signing.
-
XML-файл с уникальными значениями подключаемого поставщика удостоверений. Файл метаданных группирует вместе все необходимые сведения связанные с SAML.
Получить этот файл вы можете у своего поставщика удостоверений.
См.также
Создать SAML федерацию
-
Перейдите в раздел Администрирование, на вкладку Федерации.
-
Нажмите Создать федерацию.
-
Выберите тип протокола — SAML.
-
Загрузите XML-файл с метаданными от поставщика удостоверений.
-
Заполните название и описание федерации.
-
Задайте длительность сессии — максимальное время жизни SSO сессии.
Может быть установлено значение от 30 минут до 7 дней.
Если пользователь не проявляет активности в течение заданного в параметре времени, сессия завершится, а пользователь должен будет заново пройти аутентификацию.
Если пользователь активен, время сессии зависит от того, поддерживает ли настроенная федерация механизм refresh-токенов:
-
Если механизм refresh-токенов не поддерживается, то сессия будет завершена через время, указанное в параметре «Длительность сессии».
-
Если механизм refresh-токенов поддерживается, то при истечении access-токена приложение может использовать refresh-токен для получения нового access-токена. Так сессия пользователя может быть активна, пока не истечет время жизни refresh-токена — 7 дней.
-
-
Загрузите действующий сертификат с типом Signing.
Если сертификат уже был в загруженном XML-файле от поставщика, его данные добавятся на форму автоматически.
Вы можете загрузить несколько сертификатов — текущий и те, которые будут действовать после него. Это позволит избежать прерывания работы федерации, когда сертификат истечет.
-
Заполните параметры Single Logout Service:
Параметр
Описание
Default Binding
Метод, который используется для единого выхода.
HTTP-POST URL
Адрес единого выхода поставщика удостоверений. Указывается при выборе метода POST.
HTTP-Redirect URL
Адрес единого выхода поставщика удостоверений. Указывается при выборе метода Redirect.
-
Заполните параметры Single Sign-On Service:
Параметр
Описание
Default Binding
Метод, который используется для единого входа.
HTTP-POST URL
Страница, на которую будет перенаправлен пользователь для аутентификации. Указывается при выборе метода POST.
HTTP-Redirect URL
Страница, на которую будет перенаправлен пользователь для аутентификации. Указывается при выборе метода Redirect.
-
Нажмите Создать.
Настроить сервер поставщика удостоверений
Для завершения настройки федерации вам необходимо настроить сервер поставщика удостоверений.
После создания федерации скачайте файл с метаданными, в котором содержатся необходимые для настройки уникальные значения поставщика услуг — Cloud.ru. В том числе, в нем уже будет указан ID федерации.
Чтобы обмен данными происходил корректно, на стороне поставщика удостоверений настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на сервере поставщика удостоверений.
Данные пользователя | Обязательность | Элементы SAML-сообщения |
---|---|---|
Уникальный идентификатор пользователя | Да | <NameID> |
Фамилия | Нет | <Attribute> с параметром Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
Имя | Нет | <Attribute> с параметром Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" |
Почта | Да | <Attribute> с параметром Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" |
Номер телефона | Нет | <Attribute> с параметром Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone" |
Когда сервер поставщика удостоверений будет настроен, повторно авторизуйтесь в личном кабинете. Это позволит системам синхронизироваться и федерация станет активна.
Добавить федеративных пользователей
-
В разделе Пользователи откройте вкладку Федеративные пользователи.
-
В правом верхнем углу нажмите Добавить пользователя федерации.
-
Выберите федерацию, в которую нужно включить пользователя.
-
Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.
-
Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли пользователей.
-
Нажмите Добавить.
Профиль пользователя появится на вкладке Федеративные пользователи.
Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.
-
Перейдите в раздел Администрирование, на вкладку Федерации.
-
Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.
Прямая ссылка для входа по SSO — https://console.cloud.ru/?iam_idp=%ID_федерации%. ID вашей федерации можно получить у администратора организации.
Обратите внимание, что если по ссылке перейдет сотрудник, у которого нет учетной записи в личном кабинете, учетная запись для него будет создана автоматически. Она отобразится в списке федеративных пользователей в разделе Пользователи. У такого пользователя не будет прав для доступа к проектам, пока их не назначит администратор организации.
Обновить сертификат
Если срок действия сертификата для федерации истек, загрузите для нее новый действующий сертификат:
-
Перейдите в раздел Администрирование, на вкладку Федерации.
-
Нажмите на строку той федерации, для которой будете загружать сертификат.
-
В блоке Сертификаты нажмите Добавить сертификат и загрузите действующий сертификат с типом Signing.
- Перед началом работы
- Создать SAML федерацию
- Настроить сервер поставщика удостоверений
- Добавить федеративных пользователей
- Обновить сертификат