Подключаем Keycloak как провайдер SSO

Обновлено 12 февраля 2024

SberJazz позволяет подключать Keycloak в роли внешнего провайдера идентификации (IDP), чтобы авторизоваться в системе с помощью SSO.

Внешний IDP-провайдер должен быть доступен по протоколу HTTPS с использованием доверенного сертификата или сертификата Минцифры.

Настройка интеграции

Чтобы интегрировать Keycloak как внешний IDP-провайдер:

1. Войдите в Keycloak.
2. Перейдите в раздел Clients.
3. Создайте или выберите для настройки существующее приложение Client. Откроется страница настройки приложения.
4. Активируйте переключатель Client authentication в подразделе Capability config.
5. Введите значение https://jazz.sber.ru/* в поля редиректов Valid redirect URLs и Valid post logout redirect URLs в подразделе Login settings.
6. Перейдите на вкладку Advanced и активируйте использование refresh-токенов с помощью переключателя Use refresh tokens.
7. Перейдите на вкладку Credentials и скопируйте Client ID и Client Secret из соответствующих полей.
8. Перейдите на вкладку Realm settings, найдите в разделе Endpoints ссылку на OpenID Endpoint Configuration и скопируйте ее. Это ссылка на Discovery endpoint.
   
9. Передайте адрес домена, Discovery endpoint, Client ID и Client secret сотрудникам службы внедрения.

По умолчанию выход из SberJazz не приведет к завершению сессии в IDP-провайдере. Чтобы настроить завершение сессии пользователя на стороне IDP-провайдера, сообщите об этом сотруднику внедрения.

Добавление скоупов

Если на стороне IDP-провайдера используется кастомный scope, который нужен в токене, необходимо явно передать его название сотруднику службы внедрения. По умолчанию SberJazz запрашивает только скоуп openid. Проверить возвращаемые данные (их состав зависит от передаваемых скоупов) можно на странице Clients > Client > Client scopes.

Передача кастомных параметров

Если на стороне IDP-провайдера используется кастомный параметр, который нужен в токене, необходимо передать его название и тип сотруднику службы внедрения.

Изменение лицензии нового пользователя

При первой авторизации с помощью SSO пользователь автоматически добавляется в личный кабинет Studio. По умолчанию новому пользователю выдается базовая лицензия. Если вы используете другой тип лицензии, администратор должен вручную выдать нужную лицензию новому пользователю. Чтобы сделать это:

1. Откройте личный кабинет Studio.
2. Перейдите в ваше корпоративное пространство SberJazz.
3. Откройте панель управления пользователями в сайдбаре слева.
4. Откройте меню действий напротив имени пользователя и выберите Редактировать.
5. Выберите нужный тип лицензии.
6. Нажмите Сохранить.

Узнайте подробнее о покупке лицензий в статье Покупка лицензий по оферте.