ym88659208ym87991671
Ограничение доступа в SaluteJazz | Документация для разработчиков

Ограничение доступа в SaluteJazz

Обновлено 2 июля 2025

При подключении к приложению SaluteJazz через SSO, доступ получают все сотрудники организации. Если доступ необходим лишь отдельным пользователям, можно настроить ограничение — разрешить использование приложения только членам конкретных групп Active Directory.

Подготовка

Перед началом настройки убедитесь, что выполнено подключение AD FS как провайдера SSO.

Настройка ограничений

Чтобы настроить ограничение доступа:

  1. Создайте отдельную группу и добавьте туда пользователей, которым нужен доступ к приложению SaluteJazz.
  2. Настройте передачу имени группы в токене доступа (access token).
  3. Когда группа появится в access token, обратитесь в службу поддержки SaluteJazz для настройки необходимых ограничений использования сервиса.

AD FS позволяет использовать разные варианты передачи групп в access token:

  • Передача всех групп

При выборе этого варианта в токен будут включены все группы Active Directory, в которых состоит пользователь, с исходными (оригинальными) названиями.

  • Выборочная передача с переопределением

Этот вариант описан в примере ниже. Он позволяет включить в токен только выбранные группы Active Directory. Особенность метода заключается в том, что при настройке правил передачи можно переопределить название группы, передаваемое в токене, заменяя исходное имя любым необходимым значением (например, jazz).

Приложение SaluteJazz можно настроить на ограничение только по одной группе

В примере показано, как передать одну группу с заданным значением (jazz). Однако правило позволяет выбрать несколько групп, для каждой из которых можно задать одно и то же значение, которое попадет в токен.

Даже если пользователь входит одновременно в несколько групп Active Directory, но для всех этих групп установлено единое отображаемое значение в токене (например, jazz), оно будет отражаться в итоговом токене всего один раз. Система автоматически удаляет повторяющиеся значения.

Пример настройки

Настройка в AD FS передачи группы в токене

Чтобы настроить передачу группы в токене:

  1. Запустите AD FS Management на сервере AD FS.

  2. В разделе AD FS > Application Groups выберите нужную группу двойным нажатием левой кнопкой мыши (или нажмите правую кнопку мыши и выберите > Properties).

  3. В открывшемся окне выберите ADFS из раздела Web API.

  4. В открывшемся окне нажмите Add Rule.

  5. Выберите шаблон Send Group Membership as a Claim.

Укажите:

  • Claim rule name: название правила (например, Group Membership).

  • User’s group: выберите группу, которую нужно передавать.

  • Outgoing claim type: выберите Group из списка.

  • Outgoing claim value: введите значение, которое будет передаваться в токене при авторизации через SSO (например, jazz).

  1. Нажмите Finish.

  2. Нажмите Apply и OK, чтобы сохранить изменения.

ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей. Вы можете запретить сохранение cookie в настройках своего браузера.