Ог раничение доступа в SaluteJazz
При подключении к приложению SaluteJazz через SSO, доступ получают все сотрудники организации. Если доступ необходим лишь отдельным пользователям, можно настроить ограничение — разрешить использование приложения только членам конкретных групп Active Directory.
Подготовка
Перед началом настройки убедитесь, что выполнено подключение AD FS как провайдер а SSO.
Настройка ограничений
Чтобы настроить ограничение доступа:
- Создайте отдельную группу и добавьте туда пользователей, которым нужен доступ к приложению SaluteJazz.
- Настройте передачу имени группы в токене доступа (
access token
). - Когда группа появится в
access token
, обратитесь в службу поддержки SaluteJazz для настройки необходимых ограничений использования сервиса.
AD FS позволяет использовать разные варианты передачи групп в access token
:
- Передача всех групп
При выборе этого варианта в токен будут включены все группы Active Directory, в которых состоит пользователь, с исходными (оригинальными) названиями.
- Выборочная передача с переопределением
Этот вариант описан в примере ниже. Он позволяет включить в токен только выбранные группы Active Directory. Особенность метода заключается в том, что при настройке правил передачи можно переопределить название группы, передаваемое в токене, заменяя исходное имя любым необходимым значением (например, jazz
).
Приложение SaluteJazz можно настроить на ограничение только по одной группе
В примере показано, как передать одну г руппу с заданным значением (jazz
). Однако правило позволяет выбрать несколько групп, для каждой из которых можно задать одно и то же значение, которое попадет в токен.
Даже если пользователь входит одновременно в несколько групп Active Directory, но для всех этих групп установлено единое отображаемое значение в токене (например, jazz
), оно будет отражаться в итоговом токене всего один раз. Система автоматически удаляет повторяющиеся значения.
Пример настройки
Настройка в AD FS передачи группы в токене
Чтобы настроить передачу группы в токене:
-
Запустите AD FS Management на сервере AD FS.
-
В разделе AD FS > Application Groups выберите нужную группу двойным нажатием левой кнопкой мыши (или нажмите правую кнопку мыши и выберите > Properties).
-
В открывшемся окне выберите ADFS из раздела Web API.
-
В открывшемся окне нажмите Add Rule.
-
Выберите шаблон Send Group Membership as a Claim.
Укажите:
-
Claim rule name: название правила (например, Group Membership).
-
User’s group: выберите группу, которую нужно передавать.
-
Outgoing claim type: выберите
Group
из списка. -
Outgoing claim value: введите значение, которое будет передаваться в токене при авторизации через SSO (например,
jazz
).
-
Нажмите Finish.
-
Нажмите Apply и OK, чтобы сохранить изменения.