ym88659208ym87991671
Подключаем Keycloak как провайдер SSO | Документация для разработчиков

Подключаем Keycloak как провайдер SSO

Обновлено 14 июня 2024

SaluteJazz позволяет подключать Keycloak в роли внешнего провайдера идентификации (IDP), чтобы авторизоваться в системе с помощью SSO.

Внешний IDP-провайдер должен быть доступен по протоколу HTTPS с использованием доверенного сертификата или сертификата Минцифры. Самоподписанные сертификаты не поддерживаются системой.

Плагин SaluteJazz для Outlook не поддерживает вход с помощью IDP.

Настройка интеграции

Чтобы интегрировать Keycloak как внешний IDP-провайдер:

  1. Войдите в Keycloak.
  2. Перейдите в раздел Clients.
  3. Создайте или выберите для настройки существующее приложение Client. Откроется страница настройки приложения.
  4. Активируйте переключатель Client authentication в подразделе Capability config.
  5. Введите значение https://salutejazz.ru/* в поля редиректов Valid redirect URLs и Valid post logout redirect URLs в подразделе Login settings.
  6. Перейдите на вкладку Advanced и активируйте использование refresh-токенов с помощью переключателя Use refresh tokens.
  7. Перейдите на вкладку Credentials и скопируйте Client ID и Client Secret из соответствующих полей.
  8. Перейдите на вкладку Realm settings, найдите в разделе Endpoints ссылку на OpenID Endpoint Configuration и скопируйте ее. Это ссылка на Discovery endpoint.
    Ссылка на Discovery Endpoint
  9. Передайте адрес домена, Discovery endpoint, Client ID и Client secret сотрудникам службы внедрения.

По умолчанию выход из SaluteJazz не приведет к завершению сессии в IDP-провайдере. Чтобы настроить завершение сессии пользователя на стороне IDP-провайдера, сообщите об этом сотруднику внедрения.

Добавление скоупов

Если на стороне IDP-провайдера используется кастомный scope, который нужен в токене, необходимо передать его название сотруднику службы внедрения. По умолчанию SaluteJazz запрашивает только скоуп openid. Проверить возвращаемые данные (их состав зависит от передаваемых скоупов) можно на странице Clients > Client > Client scopes.

Передача кастомных параметров

Если на стороне IDP-провайдера используется кастомный параметр, который нужен в токене, необходимо передать его название и тип сотруднику службы внедрения.

Изменение лицензии нового пользователя

При первой авторизации с помощью SSO пользователь автоматически добавляется в личный кабинет Studio. По умолчанию новому пользователю выдается базовая лицензия. Если вы используете другой тип лицензии, администратор должен вручную выдать нужную лицензию. Чтобы сделать это:

  1. Откройте личный кабинет Studio.
  2. Перейдите в ваше корпоративное пространство SaluteJazz.
  3. Откройте панель управления пользователями в меню слева.
  4. Откройте меню действий напротив имени пользователя и выберите Редактировать.
  5. Выберите нужный тип лицензии.
  6. Нажмите Сохранить.

Узнайте подробнее о покупке лицензий в статье Покупка лицензий по оферте.

ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей.
Вы можете запретить сохранение cookie в настройках своего браузера.