Настройка интеграции по SAML

Обновлено 2 июля 2025

Перед настройкой нужно получить файл descriptor.xml от сотрудников службы внедрения SaluteJazz.

Создание клиента на стороне keycloak IdP

1. Выберите раздел Clients в левой боковой панели.
2. Нажмите Import client в верхней части страницы.
3. Загрузите файл descriptor.xml. Для этого:

• перейдите в раздел Resource file и перетащите файл в выделенную область; или
• нажмите на кнопку Browse... и выберите файл с вашего устройства.

Client ID подтягивается из файла descriptor.xml. Если такой Client ID уже существует, нужно указать в файле уникальное название и передать это название сотруднику службы внедрения SaluteJazz.

4. Нажмите Save.

Будет создан новый клиент.

Настройки клиента

Часть настроек клиента подтягивается из файла descriptor.xml, но некоторые из них могут отличаться от целевых значений.

Чтобы интеграция работала корректно, установите следующие настройки:

1. Перейдите в раздел Clients в левой боковой панели.
2. Выберите нужный клиент из списка.
3. Откройте вкладку Settings в верхней части страницы.
4. Настройте параметры:

Общие настройки (General settings)

• Client ID: проверьте, что указан уникальный идентификатор клиента.
  
• Name: может совпадать с Client ID.
  
• Description: описание клиента (необязательное поле).
  
• Always display in UI: On.
  
• Enabled: On.
  

Настройки доступа (Access settings)

• Root URL: можно оставить пустым.
• Home URL: можно оставить пустым.
• Valid redirect URLs: введите список URL-адресов, допустимых для перенаправления.
• Valid post logout redirect URLs: введите список URL-адресов, допустимых для перенаправления после выхода.
• IDP-initiated SSO URL: можно оставить пустым.
• IDP-initiated SSO Relay State: можно оставить пустым.
• Master SAML Processing URL: можно оставить пустым.

Возможности SAML (SAML capabilities)

• Name ID format: email.
• Force name ID format: On.
• Force POST binding: On.
• Force artifact binding: Off.
• Include AuthnStatement: On.
• Include OneTimeUse condition: Off.
• Optimize REDIRECT signing key lookup: Off.
• Allow ECP flow: Off.

Настройки подписи и шифрования (Signature and Encryption)

• Sign document: On.
• Sign assertion: On.
• Signature algorithm: RSA_SHA256.
• SAML signature key: KEY_ID.
• Canonicalization method: EXCLUSIVE.

Настройки входа (Login settings)

• Login theme: введите тему входа, например, keycloak.
• Consent required: Off.
• Display client on screen: Off.
• Consent screen text: оставить пустым.
• Front channel logout: On.

Настройка маперов атрибутов

После импорта клиента создаются маперы. Некоторые настройки будут предзаполнены.

Для настройки остальных параметров:

1. В левой боковой панели выберите раздел Clients.
2. Выберите клиент, созданный на предыдущем шаге.
3. Перейдите на вкладку Client scopes в верхней части страницы.
4. Из списка Assigned client scope выбериет скоуп название_клиента-dedicated.
5. Перейдите на страницу скоупа в верхней части страницы и выберите вкладку Mappers.
6. В каждом мапере укажите User Attribute пользователя, который соответствует требуемому атрибуту:

• firstName — имя пользователя;
• lastName — фамилия пользователя;
• middleName — отчество пользователя.

Переход с OIDC на SAML

Чтобы перейти с аутентификации через OIDC на SAML в интеграции между приложением SaluteJazz и IdP выполните следующие шаги:

1. Направьте запрос в службу поддержки SaluteJazz с уведомлением о планируемом переходе на SAML. Это необходимо для предварительной настройки SAML на стороне приложения SaluteJazz.

2. Настройте интеграцию с помощью протокола SAML.

3. После настройки SAML обратитесь в поддержку SaluteJazz, чтобы переключить интеграцию с OIDC на SAML.