К основному содержимому

Единый вход (SSO)

Обновлено более месяца назад

Доступно для: тариф Бизнес, тариф Корпоративный

Необходимая роль: Администратор Пространства

Как работает SAML SSO

  1. Когда пользователь пытается войти в Holst через единую систему входа (SSO), Holst отправляет SAML-запрос (Security Assertion Markup Language) поставщику идентификационных данных (IdP).

  2. Поставщик идентификационных данных проверяет учетные данные пользователя и возвращает ответ в Holst, подтверждая личность пользователя.

  3. Holst обрабатывает ответ и предоставляет доступ к аккаунту пользоваля.

Настройка SSO

Настройка IdP

  1. Перейдите в раздел конфигурации вашего поставщика идентификационных данных и следуйте его инструкциям для настройки единого входа (SSO).

  2. Добавьте следующие метаданные. Рекомендуем пропустить все необязательные поля и оставить значения по умолчанию без изменений.

Protocol

SAML 2.0

Binding

HTTP Redirect из SP в IdP
HTTP Post из IdP в SP

The service URL (SP-initiated URL)

Также известен как Launch URL, Reply URL, Relying Party SSO Service URL, Target URL, SSO Login URL, Identity Provider Endpoint, и т.д.

https://app.holst.so/gapi/sso/saml

Assertion Consumer Service URL


Также известен как Allowed Callback URL, Custom ACS URL, Reply URL

https://app.holst.so/gapi/sso/saml

Entity ID

Также известен как Identifier, Relying Party Trust Identifier

https://app.holst.so/gapi

Default Relay State

должен быть пустым

Signing Requirement

Неподписанный SAML Response и подписанный Assertion


Подписанный SAML Response и подписанный Assertion

Assertion всегда должен быть подписан

SubjectConfirmation Method

"urn:oasis:names:tc:SAML:2.0:cm:bearer"

⚠️ Шифрование и Единый выход (SLO) не поддерживаются.

Учетные данные пользователя

Обязательные поля

  1. NameID (должен быть равен адресу почты пользователя)
    <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">

Опциональные поля

  1. "DisplayName" , "http://schemas.microsoft.com/identity/claims/displayname" или "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"

  2. "FirstName", "GivenName" или "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"

  3. "LastName", "Surname" или "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"

В качестве имени пользователя используется "DisplayName" и аналоги при наличии, либо "FirstName" + "LastName" при наличии.

Настройка Пространства

  1. Перейдите к настройкам Пространства

    (Участники & Настройки) > Единый вход (SSO)

  2. Включите SSO

  3. Заполните поле SAML Sign-in URL (в большинстве случаев это страница вашего поставщика идентификационных данных, где конечные пользователи должны ввести свои учетные данные)

  4. Key x.509 Certificate (публичный сектификат, выданный вашим поставщиком идентификационных данных)

  5. Далее необходимо добавить и верифицировать домены, по которым будет происходить авторизация пользователей. Подробнее в Управление доменами.

Другие статьи по теме
Настройка Keycloak SAML SSO
Нашли ответ на свой вопрос?