Добавление провайдера

Шаг 1. Настройка Identity-провайдера (IdP).

Форма настройки Identity-провайдера

Вы можете выбрать два способа настройки вашего Identity-провайдера: загрузить файл метаданных (metadata.xml) или ввести необходимые данные вручную. Все поля формы являются обязательными для заполнения.

Название провайдера - название вашего Identity-провайдера, например Keycloak. Это поле помогает идентифицировать ваш IdP в системе.

Идентификатор (Entity ID) - или идентификатор сущности, уникально идентифицирует ваш Identity-провайдер в контексте SAML 2.0. Entity ID предоставляется вашим Identity-провайдером.

Login URL - URL-адрес, по которому ваш сервис-поставщик будет перенаправлять пользователей для аутентификации. Пользователи будут направлены на этот URL для ввода учетных данных в систему IdP. Login URL также предоставляется вашим Identity-провайдером.

Logout URL - URL-адрес, по которому пользователи будут перенаправляться после выхода из системы. Этот URL определяет, куда пользователи будут перенаправлены после завершения сеанса. Logout URL также предоставляется вашим Identity-провайдером.

Сертификат в формате XML - сертификат в формате XML, который используется для безопасной передачи данных между вашим сервис-поставщиком и Identity-провайдером. Этот сертификат обеспечивает защиту данных во время обмена между системами. Обратитесь к вашему Identity-провайдеру, чтобы получить этот сертификат. Вы также можете найти его в метаданных (metadata.xml), если предоставленный файл содержит эту информацию.

Загрузить файл metadata.xml - имеется возможность заполнить данную форму, используя файл с метаданными Identity-провайдера. Структура файла стандартная (соответствует спецификации SAML 2.0). Файл метаданных содержит информацию о вашем Identity-провайдере и его загрузка облегчит настройку, так как позволит автоматически получить необходимые параметры. Файл может быть предоставлен вам вашим IdP или находиться в их системе.

Пример структуры файла metadata.xml:

<md:EntityDescriptor
          xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
          validUntil="2023-09-30T19:48:36Z"
          cacheDuration="PT604800S"
          entityID="https://adfs-test.by.mgo.su/entityid">
          <md:SPSSODescriptor
            AuthnRequestsSigned="false"
            WantAssertionsSigned="false"
            protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
            <md:KeyDescriptor use="signing">
              <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                  <ds:X509Certificate>MIIC4jCCAcoCCQC33wnybT5QZDANBgkqhkiG9w0BAQsFADAy...</ds:X509Certificate>
                </ds:X509Data>
              </ds:KeyInfo>
            </md:KeyDescriptor>
            <md:SingleLogoutService
              Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
              Location="https://adfs-test.by.mgo.su/adfs-logout.php"/>
            <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
            <md:AssertionConsumerService
              Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
              Location="https://adfs-test.by.mgo.su/adfs-resp-receiver.php"
              index="1"/>
            <md:AttributeConsumingService index="1">
              <md:ServiceName xml:lang="en">SP test</md:ServiceName>
              <md:ServiceDescription xml:lang="en">Test Service</md:ServiceDescription>
              <md:RequestedAttribute
                Name="email"
                NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"
                FriendlyName="email"
                isRequired="false"/>
            </md:AttributeConsumingService>
          </md:SPSSODescriptor>
        </md:EntityDescriptor>

Шаг 2. Сопоставление полей

На втором этапе настройки требуется указать имена атрибутов для точного сопоставления с учетной записью при процедуре авторизации, а также сопоставить роли сотрудников.

Важно

Для успешной авторизации сотрудника от Identity-провайдера обязательно должны поступить указанные атрибуты. В противном случае сотрудник не сможет выполнить процедуру авторизации.

Форма сопоставления полей

Важно

Сопоставление по полю «роль» является строгим. Таким образом, если роль в IdP не совпадет, авторизация не произойдет.

Можно привязать несколько доменных групп к одной роли «Сотрудник» (перечислив их через запятую). Если сотрудник подходит под разные роли, система автоматически выберет ту, у которой выше приоритет.

Не использовать e-mail в качестве параметра идентификатора. При включении данной опции сопоставление учетной записи будет происходить не по значению e-mail, а по тому, которое придет в nameID.

Автоматически создавать учетную запись SIP для новых сотрудников. При включении данной опции у новых сотрудников будет создаваться учетная запись SIP, которую можно использовать для звонков.

Автоматическое назначение групп. Для работы этой опции необходимо заранее добавить группы обзвона в ЛК. При включении данной опции, в момент авторизации, сотрудники будут сопоставлены с ранее созданными группами обзвона.

Заполните поля формы и сохраните внесенные изменения кнопкой Сохранить.

После сохранения настроек Identity-провайдера в Личном кабинете вы получите ссылку, ведущую на форму авторизации, которую и нужно будет передать своим операторам для входа в ЛК ВАТС.

Ссылка на форму авторизации

Также на данной странице есть возможность скачать XML файл с настройками, для более простого импорта на стороне Identity-провайдера.

Теперь система способна обрабатывать запросы подтверждения аутентификации и завершения сессий пользователя в соответствии с SAML-спецификацией.

Нажатие на кнопку Вернуться к списку провайдеров открывает окно вкладки SSO.

Вкладка SSO

Переключатель on-off регулирует активацию/деактивацию своего Identity-провайдера.

Предыдущая
Аутентификация и авторизация в рамках SSO
Следующая
Настройка аутентификации и авторизации на примере Keycloak