Настройки авторизации и аутентификации

Путь: ЛК Сотрудника - Настройки приложения - Общие - Настройки авторизации и аутентификации

Используемые способы авторизации

В данном блоке настроек включаются варианты авторизации, может быть включено одновременно несколько способов.

Логин-пароль - стандартная авторизация, с помощью логина и пароля.

SMS - авторизация по SMS.

SSO(single sign on) - это авторизация через единый вход в систему.

Общие настройки

Время жизни токена доступа- Параметр определяет сколько времени(в секундах) будет действовать авторизация пользователя, значение по умолчанию 43200(12 часов)

Использовать ограничение вариантов авторизации по физическим лицам- Включает возможность ограничивать определенным физическим лицам способы авторизации. Настройка производится через Монитор подключения сотрудников.

• razreshen-vkhod-s-neskolkikh-ustroistv.md

Срок действия ссылок изменения пароля

• privetstvennaya-rassylka-srok-deistviya.md

• srok-deistviya-ssylok-dlya-izmeneniya-parolya.md

Настройки вкладки Логин-пароль

• ispolzuetsya-dvukhfaktornaya-autentifikaciya.md

• variant-dvukhfaktornoi-autentifikacii.md

• shablon-soobsheniya-odnorazovyi-kod-sms.md

• shablony-soobsheniya-odnorazovyi-kod-avtorizacii-pochta.md

• vid-adresa-elektronnoi-pochty-2fa.md

• vid-nomera-telefona-2fa.md

• ogranichit-chislo-popytok-vkhoda.md

• zaderzhka-otpravki-odnorazovykh-kodov.md

• shablon-soobsheniya-kto-to-pytaetsya-avtorizovatsya.md

Настройки вкладки технологии единого входа (SSO)

SSO (single sign on) - это авторизация через единый вход в систему.

Эта технология предоставляет единый сервис аутентификации (провайдер) для подключенных приложений организации с поддержкой таких протоколов, как SAML и OpenID. При этом для доступа ко всем приложениям используется одна учетная запись.

Настройки в пользовательском режиме

• Вариант работы - вариант работы SSO.
  • SAML2;
  • OpenID Connect 1.0
• Пропускать кнопку входа - вариант при котором пользователь авторизуется автоматически при переходе по адресу личного кабинета, без необходимости дополнительного нажатия кнопки "Войти с помощью SSO"
• Проверять подпись- система на стороне приложения криптографически проверяет цифровую подпись токена или SAML‑ответа, который пришёл от IdP (поставщика идентификации)
• Тип HTTP-запроса авторизации- Определяет какой тип HTTP-запроса будет использовать front-end при отправке запросов авторизации(GET, POST).

Настройки SAML2

• Адрес IDP - необходимо указать адрес IDP;
• Закрытый сертификат из файла - сертификат из справочника Файлы (расширения cer, pem).
• Публичный сертификат из файла - сертификат из справочника Файлы (расширения p12, key).
• Пароль закрытого сертификата - пароль, используемый для закрытого сертификата.

Настройки OpenID Connect 1.0

• Получение данных аутентификации - выбрать значение из выпадающего списка:
  • Извлечь из токена - рекомендуется;
  • Получить по API - используется тогда, когда IDP не добавляет эл. почту в токен.
• Адрес авторизации (authorization_endpoint) - необходимо указать адрес авторизации;
• Адрес выдачи токенов (token_endpoint) - необходимо указать адрес выдачи токенов;
• Адрес информации о пользователе (userinfo_endpoint) - необходимо указать адрес информации о пользователе;
• Адрес выхода из приложения (end_session_endpoint) - необходимо указать адрес выхода из приложения;
• Идентификатор клиента - обязательный параметр, получается в настройках провайдера.
• Секретный ключ клиента - необязательный параметр.

Пример:

{"token_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/token",
"token_endpoint_auth_methods_supported"["client_secret_post","private_key_jwt","client_secret_basic"], "jwks_uri":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/discovery/v2.0/keys",
"response_modes_supported":["query","fragment","form_post"], "subject_types_supported":["pairwise"],
"id_token_signing_alg_values_supported":["RS256"],
"response_types_supported":["code","id_token","code id_token","id_token token"], "scopes_supported":["openid","profile","email","offline_access"], "issuer":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/v2.0",
"request_uri_parameter_supported":false, "userinfo_endpoint":"https://graph.microsoft.com/oidc/userinfo",\ "authorization_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/authorize", "device_authorization_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/devicecode", "http_logout_supported":true,"frontchannel_logout_supported":true, "end_session_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/logout",
"claims_supported":["sub","iss","cloud_instance_name","cloud_instance_host_name","cloud_graph_host_name","msgraph_host","aud","exp","iat","auth_time","acr","nonce","preferred_username","name","tid","ver","at_hash","c_hash","email"], "kerberos_endpoint":"https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/kerberos",
"tenant_region_scope":"EU",
"cloud_instance_name":"microsoftonline.com", "cloud_graph_host_name":"graph.windows.net",
"msgraph_host":"graph.microsoft.com",
"rbac_url":"https://pas.windows.net"}

Требования к провайдеру:
    1. Поддержка front channel logout
    2. Поддержка response_type - code
    3. Поддержка отправки client_secret как url-параметра
ВАЖНО! Удалена поддержка SSO WS-Federation.