Настройка интеграции по SAML
Перед настройкой нужно получить файл descriptor.xml
от сотрудников службы внедрения SaluteJazz.
Создание клиента на стороне keycloak IdP
- Выберите раздел Clients в лево й боковой панели.
- Нажмите Import client в верхней части страницы.
- Загрузите файл
descriptor.xml
. Для этого:
- перейдите в раздел Resource file и перетащите файл в выделенную область; или
- нажмите на кнопку Browse... и выберите файл с вашего устройства.
Client ID
подтягивается из файла descriptor.xml
. Если такой Client ID
уже существует, нужно указать в файле уникальное название и передать это название сотруднику службы внедрения SaluteJazz.
- Нажмите Save.
Будет создан новый клиент.
Настройки клиента
Часть настроек клиента подтягивается из файла descriptor.xml
, но некоторые из них могут отличаться от целевых значений.
Чтобы интеграция работала корректно, установите следующие настройки:
- Перейдите в раздел Clients в левой боковой панели.
- Выберите нужный клиент из списка.
- Откройте вкладку Settings в верхней части страницы.
- Настройте параметры:
Общие настройки (General settings)
- Client ID: проверьте, что указан уникальный идентификатор клиента.
- Name: может совпадать с
Client ID
. - Description: описание клиента (необязательное поле).
- Always display in UI: On.
- Enabled: On.
Настройки доступа (Access settings)
- Root URL: можно оставить пустым.
- Home URL: можно оставить пустым.
- Valid redirect URLs: введите список URL-адресов, допустимых для перенаправления.
- Valid post logout redirect URLs: введите список URL-адресов, допустимых для перенаправления после выхода.
- IDP-initiated SSO URL: можно оставить пустым.
- IDP-initiated SSO Relay State: можно оставить пустым.
- Master SAML Processing URL: можно оставить пустым.
Возможности SAML (SAML capabilities)
- Name ID format: email.
- Force name ID format: On.
- Force POST binding: On.
- Force artifact binding: Off.
- Include AuthnStatement: On.
- Include OneTimeUse condition: Off.
- Optimize REDIRECT signing key lookup: Off.
- Allow ECP flow: Off.
Настройки подписи и шифрования (Signature and Encryption)
- Sign document: On.
- Sign assertion: On.
- Signature algorithm: RSA_SHA256.
- SAML signature key: KEY_ID.
- Canonicalization method: EXCLUSIVE.
Настройки входа (Login settings)
- Login theme: введите тему входа, например, keycloak.
- Consent required: Off.
- Display client on screen: Off.
- Consent screen text: оставить пустым.
- Front channel logout: On.
Настройка маперов атрибутов
После импорта клиента создаются маперы. Некоторые настройки будут предзаполнены.
Для настройки остальных параметров:
- В левой боковой панели выберите раздел Clients.
- Выберите клиент, созданный на предыдущем шаге.
- Перейдите на вкладку Client scopes в верхней части страницы.
- Из списка Assigned client scope выбериет скоуп
название_клиента-dedicated
. - Перейдите на страницу скоупа в верхней части страницы и выберите вкладку Mappers.
- В каждом мапере укажите User Attribute пользователя, который соответствует требуемому атрибуту:
- firstName — имя пользователя;
- lastName — фамилия пользователя;
- middleName — отчество пользователя.
Переход с OIDC на SAML
Чтобы перейти с аутентификации через OIDC на SAML в интеграции между приложением SaluteJazz и IdP выполните следующие шаги:
-
Направьте запрос в службу поддержки SaluteJazz с уведомлением о планируемом переходе на SAML. Это необходимо для предварительной настройки SAML на стороне приложения SaluteJazz.
-
Настройте интеграцию с помощью протокола SAML.
-
После настройки SAML обратитесь в поддержку SaluteJazz, чтобы переключить интеграцию с OIDC на SAML.