Перейти на сайт

Единый вход (SSO)

Узнайте, как работает SAML SSO в Holst и как его настроить

Актуально для тарифов: Бизнес, Корпоративный
Необходимая роль: Администратор

Как работает SAML SSO

  1. Когда пользователь пытается войти в Holst через единую систему входа (SSO), Holst отправляет SAML-запрос (Security Assertion Markup Language) поставщику идентификационных данных (IdP).

  2. Поставщик идентификационных данных проверяет учетные данные пользователя и возвращает ответ в Holst, подтверждая личность пользователя.

  3. Holst обрабатывает ответ и предоставляет доступ к аккаунту пользователя.

Настройка SSO

Настройка IdP

  1. Перейдите в раздел конфигурации вашего поставщика идентификационных данных и следуйте его инструкциям для настройки единого входа (SSO).

  2. Добавьте следующие метаданные. Рекомендуем пропустить все необязательные поля и оставить значения по умолчанию без изменений.

Protocol

SAML 2.0

Binding

HTTP Redirect из SP в IdP
HTTP Post из IdP в SP

The service URL (SP-initiated URL)

Также известен как Launch URL, Reply URL, Relying Party SSO Service URL, Target URL, SSO Login URL, Identity Provider Endpoint, и т.д.

https://app.holst.so/gapi/sso/saml

Assertion Consumer Service URL

Также известен как Allowed Callback URL, Custom ACS URL, Reply URL

https://app.holst.so/gapi/sso/saml

Entity ID

Также известен как Identifier, Relying Party Trust Identifier

https://app.holst.so/gapi

Default Relay State

должен быть пустым

Signing Requirement

Неподписанный SAML Response и подписанный Assertion


Подписанный SAML Response и подписанный Assertion


Assertion всегда должен быть подписан

SubjectConfirmation Method

"urn:oasis:names:tc:SAML:2.0:cm:bearer"

⚠️ Шифрование и Единый выход (SLO) не поддерживаются.

Учетные данные пользователя

Обязательные поля

  1. NameID (должен быть равен адресу почты пользователя)
    <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">

Опциональные поля

  1. DisplayName, http://schemas.microsoft.com/identity/claims/displayname или http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

  2. FirstName, GivenName или http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

  3. LastName, Surname или http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

В качестве имени пользователя используется DisplayName и аналоги при наличии, либо FirstName + LastName при наличии.

Настройка пространства

  1. Перейдите к настройкам пространства: «Участники & Настройки» → «Единый вход (SSO)».

  2. Включите SSO.

  3. Заполните поле «SAML Sign-in URL» (в большинстве случаев это страница вашего поставщика идентификационных данных, где конечные пользователи должны ввести свои учетные данные)

  4. Key x.509 Certificate — публичный сертификат, выданный вашим поставщиком идентификационных данных.

  5. Далее необходимо добавить и верифицировать домены, по которым будет происходить авторизация пользователей. Подробнее в статье «Управление доменами».

👆 На этом пока всё