ym88659208ym87991671
Настройка интеграции по OIDC | Документация для разработчиков

Настройка интеграции по OIDC

Обновлено 2 июля 2025

Чтобы интегрировать Keycloak как внешний IDP-провайдер:

  1. Войдите в Keycloak.
  2. Перейдите в раздел Clients.
  3. Создайте или выберите для настройки существующее приложение Client. Откроется страница настройки приложения.
  4. Активируйте переключатель Client authentication в подразделе Capability config.
  5. Введите значение https://salutejazz.ru/* в поля редиректов Valid redirect URLs и Valid post logout redirect URLs в подразделе Login settings.
  6. Перейдите на вкладку Advanced и активируйте использование refresh-токенов с помощью переключателя Use refresh tokens.
  7. Перейдите на вкладку Credentials и скопируйте Client ID и Client Secret из соответствующих полей.
  8. Перейдите на вкладку Realm settings, найдите в разделе Endpoints ссылку на OpenID Endpoint Configuration и скопируйте ее. Это ссылка на Discovery endpoint.
    Ссылка на Discovery Endpoint
  9. Передайте адрес домена, Discovery endpoint, Client ID и Client secret сотрудникам службы внедрения.

По умолчанию выход из SaluteJazz не приведет к завершению сессии в IDP-провайдере. Чтобы настроить завершение сессии пользователя на стороне IDP-провайдера, сообщите об этом сотруднику внедрения.

Добавление скоупов

Если на стороне IDP-провайдера используется кастомный scope, который нужен в токене, необходимо передать его название сотруднику службы внедрения. По умолчанию SaluteJazz запрашивает только скоуп openid. Проверить возвращаемые данные (их состав зависит от передаваемых скоупов) можно на странице Clients > Client > Client scopes.

Передача кастомных параметров

Если на стороне IDP-провайдера используется кастомный параметр, который нужен в токене, необходимо передать его название и тип сотруднику службы внедрения.

Чтобы передавать отчество пользователя в токены:

  1. Перейдите в настройки области видимости клиента Client Scopes.
  2. Найдите область видимости Profile.
  3. Включите атрибут middleName в список передаваемых атрибутов.

  • Mapper type — user attribute;

  • User attribute — middleName;

  • Token claim name — middleName.

И включите переключатели:

  • Add to ID token
  • Add to access token
  • Add to userinfo
  • Add to introspection.
ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей. Вы можете запретить сохранение cookie в настройках своего браузера.