SSO
Примечание
AppSec.Hub поддерживает работу с несколькими SSO-сервисами.
Чтобы приступить к настройкам, нажмите иконку Administration › Authorization и перейдите на вкладку SSO services, на которой приводится перечень настроенных SSO-профилей.
Добавление SSO-профиля
-
Нажмите кнопку Add SSO в правом верхнем углу.
-
Укажите имя SSO-профиля в поле Enter SSO service name.
-
В поле Client ID укажите идентификатор клиента IdP-сервера.
-
В поле Metadata URL укажите URL файла с метаданными.
Примечание
При необходимости с помощью селектора Client signature request активируйте запрос подписи. В открывшихся полях укажите PEM-сертификат открытого ключа (Sign request public certificate) и закрытый ключ (Sign request private key) подписи.
Примечание
При необходимости с помощью селектора Encrypt assertion активируйте шифрование подтверждения. В открывшихся полях укажите PEM-сертификат открытого ключа (Encrypt assertion public certificate) и закрытый ключ (Encrypt assertion private key) шифрования.
Примечание
По соображениям безопасности сохраненные приватные ключи, в отличии от сертификатов, не отображаются в полях интерфейса. Однако отображение сертификата однозначно указывает на наличие сохраненного ключа, поскольку сохранить сертификат без ключа невозможно.
-
Нажмите кнопку Save. В результате будет создан и активирован (селектор Activate SSO Service включен) новый SSO-профиль.
Сопоставление схемы пользователя
Сопоставление схемы пользователя выполняется на вкладке User schema mapping.
-
В поле Hub email attribute укажите атрибут SSO-сервиса, который сопоставляется с адресом электронной почты пользователя AppSec.Hub.
Примечание
При заполнении полей Hub email attribute, Hub login attribute и т. д. необходимо указывать
Name
атрибута, а неFriendlyName
.Например
Если SAML Response содержит
<saml:Attribute FriendlyName="email" Name="urn:oid:1.2.840.113549.1.9.1"...>
, в поле Hub email attribute следует указатьurn:oid:1.2.840.113549.1.9.1
, а неemail
.Если SAML Response содержит
<saml:Attribute FriendlyName="username" Name="login"...>
, в поле Hub login attribute следует указатьlogin
, а неusername
. -
В поле Hub login attribute укажите атрибут SSO-сервиса, который сопоставляется с логином пользователя AppSec.Hub.
-
При необходимости, нажав стрелку справа от поля Additional user information, в открывшихся полях добавьте дополнительные атрибуты SSO-сервиса, которые сопоставляются со следующими атрибутами пользователя AppSecHub:
- Имя (Hub user name attribute).
- Фамилия (Hub user second name attribute).
- Функциональная роль в команде (Hub user position attribute).
- Номер телефона (Hub user phone attribute).
-
Нажмите кнопку Save.
Примечание
На этой вкладке должны быть обязательно сопоставлены следующие поля: Hub email attributen и Hub login attribute. Сопоставление других полей не является обязательным.
Сопоставление ролевой модели
Примечание
Для сопоставления ролей и групп необходимо предварительно выполнить настройки соответствующих атрибутов SSO-сервиса.
Сопоставление ролевой модели определяет соответствие групп пользователей SSO с ролями AppSec.Hub. Если сопоставление настроено, роли в AppSec.Hub назначаются SSO-пользователям автоматически.
Примечание
Если сопоставление ролевой модели не выполнено, новые SSO-пользователи добавляются с ролью Developer.
Сопоставление ролевой модели выполняется на вкладке Role model mapping.
-
В поле Hub user role выберите роль, назначаемую пользователю в AppSec.Hub.
-
В поле SSO attribute name укажите название поля атрибута SSO-сервиса, который выбран для идентификации групп пользователей при сопоставлении ролевой модели.
-
В поле SSO attribute value укажите значение атрибута SSO-сервиса, который выбран для идентификации групп пользователей при сопоставлении ролевой модели.
-
Для добавления следующего ряда параметров нажимайте кнопку Add mapping.
-
Выполнив сопоставление всех ролей, нажмите кнопку Save.
Сопоставление групп
Примечание
Для сопоставления ролей и групп необходимо предварительно выполнить настройки соответствующих атрибутов SSO-сервиса.
Сопоставление групп определяет соответствие между группами SSO-пользователей и командами в AppSec.Hub. Если сопоставление настроено, команды в AppSec.Hub назначаются SSO-пользователям автоматически.
Примечание
Если сопоставление групп не выполнено, новые SSO-пользователи добавляются в команду Default Team.
Сопоставление групп выполняется на вкладке Group mapping.
-
В поле Hub team выберите группу пользователей AppSec.Hub.
-
В поле SSO group укажите название поля атрибута SSO-сервиса, который выбран для идентификации групп пользователей при их сопоставлении.
-
В поле SSO attribute value укажите значение атрибута SSO-сервиса, который выбран для идентификации групп пользователей при их сопоставлении.
Примечание
Перед значением SSO-атрибута в этом поле необходимо поставить слэш, например
/DocTeam
. -
Для добавления следующего ряда параметров нажимайте кнопку Add mapping.
-
Выполнив сопоставление всех групп, нажмите кнопку Save.
Деактивация/активация SSO-профиля
SSO-профиль(и) можно деактивировать одним из следующих способов:
-
Находясь на странице соответствующего профиля, отключите селектор Activate SSO Service.
-
На вкладке SSO services откройте меню, нажав значок справа от соответствующего SSO-профиля, и выберите пункт Deactivate.
-
На вкладке SSO services выберите один или несколько SSO-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Deactivate selected.
Примечание
После деактивации SSO-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.
SSO-профили могут быть активированы вновь.
Удаление SSO-профиля
SSO-профиль(и) можно удалить одним из следующих способов:
-
На вкладке SSO services откройте меню, нажав значок справа от соответствующего SSO-профиля, и выберите пункт Delete.
-
На вкладке SSO services выберите один или несколько SSO-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Delete selected.
Примечание
После удаления SSO-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.
Авторизация SSO-пользователей
-
На странице авторизации AppSec.Hub нажмите кнопку с названием SSO-профиля.
-
Авторизуйтесь в открывшемся окне SSO-сервиса. После успешной авторизации в окне SSO-сервиса пользователь будет перенаправлен в AppSec.Hub для продолжения работы в системе.
Примечание
В случае изменения адреса электронной почты SSO-пользователя, он не сможет успешно авторизоваться в системе по старому логину.
Режимы работы SSO
SSO в системе имеет два режима работы:
- Аутентификация.
- Аутентификация и авторизация.
Если в настройках SSO не указано сопоставление ролей на вкладке Role model mapping и групп на вкладке Group mapping, система работает в режиме аутентификации. В этом режиме при входе SSO-пользователя в систему производится только его аутентификация, а роли и команды для этого SSO-пользователя при этом не переопределяются, а остаются такими, как это было ранее определено в профиле пользователя в разделах User roles и Memebrship in teams.
Если в настройках SSO было произведено сопоставление ролей на вкладке Role model mapping и/или групп на вкладке Group mapping, система работает в режиме аутентификации и авторизации. В этом режиме при входе SSO-пользователя в систему, помимо его аутентификации, производится также перенастройка его ролей и/или команд в разделах User roles и Memebrship in teams в профиле пользователя, в соответствии с мапированием ролей, указанным на вкладке Role model mapping и/или групп на вкладке Group mapping.
Примечание
Мапирование ролей влияет только на перенастройку ролей SSO-пользователя в разделе User roles. Мапирование групп влияет только на перенастройку команд SSO-пользователя в разделе Memebrship in teams.