Перейти к содержанию

SSO

Примечание

AppSec.Hub поддерживает работу с несколькими SSO-сервисами.

Чтобы приступить к настройкам, нажмите иконку Administration Authorization и перейдите на вкладку SSO services, на которой приводится перечень настроенных SSO-профилей.

Добавление SSO-профиля

  1. Нажмите кнопку Add SSO в правом верхнем углу.

  2. Укажите имя SSO-профиля в поле Enter SSO service name.

  3. В поле Client ID укажите идентификатор клиента IdP-сервера.

  4. В поле Metadata URL укажите URL файла с метаданными.

    Примечание

    При необходимости с помощью селектора Client signature request активируйте запрос подписи. В открывшихся полях укажите PEM-сертификат открытого ключа (Sign request public certificate) и закрытый ключ (Sign request private key) подписи.

    Примечание

    При необходимости с помощью селектора Encrypt assertion активируйте шифрование подтверждения. В открывшихся полях укажите PEM-сертификат открытого ключа (Encrypt assertion public certificate) и закрытый ключ (Encrypt assertion private key) шифрования.

    Примечание

    По соображениям безопасности сохраненные приватные ключи, в отличии от сертификатов, не отображаются в полях интерфейса. Однако отображение сертификата однозначно указывает на наличие сохраненного ключа, поскольку сохранить сертификат без ключа невозможно.

  5. Нажмите кнопку Save. В результате будет создан и активирован (селектор Activate SSO Service включен) новый SSO-профиль.

Сопоставление схемы пользователя

Сопоставление схемы пользователя выполняется на вкладке User schema mapping.

  1. В поле Hub email attribute укажите атрибут SSO-сервиса, который сопоставляется с адресом электронной почты пользователя AppSec.Hub.

    Примечание

    При заполнении полей Hub email attribute, Hub login attribute и т. д. необходимо указывать Name атрибута, а не FriendlyName.

    Например

    Если SAML Response содержит <saml:Attribute FriendlyName="email" Name="urn:oid:1.2.840.113549.1.9.1"...>, в поле Hub email attribute следует указать urn:oid:1.2.840.113549.1.9.1, а не email.

    Если SAML Response содержит <saml:Attribute FriendlyName="username" Name="login"...>, в поле Hub login attribute следует указать login, а не username.

  2. В поле Hub login attribute укажите атрибут SSO-сервиса, который сопоставляется с логином пользователя AppSec.Hub.

  3. При необходимости, нажав стрелку справа от поля Additional user information, в открывшихся полях добавьте дополнительные атрибуты SSO-сервиса, которые сопоставляются со следующими атрибутами пользователя AppSecHub:

    • Имя (Hub user name attribute).
    • Фамилия (Hub user second name attribute).
    • Функциональная роль в команде (Hub user position attribute).
    • Номер телефона (Hub user phone attribute).
  4. Нажмите кнопку Save.

Примечание

На этой вкладке должны быть обязательно сопоставлены следующие поля: Hub email attributen и Hub login attribute. Сопоставление других полей не является обязательным.

Сопоставление ролевой модели

Примечание

Для сопоставления ролей и групп необходимо предварительно выполнить настройки соответствующих атрибутов SSO-сервиса.

Сопоставление ролевой модели определяет соответствие групп пользователей SSO с ролями AppSec.Hub. Если сопоставление настроено, роли в AppSec.Hub назначаются SSO-пользователям автоматически.

Примечание

Если сопоставление ролевой модели не выполнено, новые SSO-пользователи добавляются с ролью Developer.

Сопоставление ролевой модели выполняется на вкладке Role model mapping.

  1. В поле Hub user role выберите роль, назначаемую пользователю в AppSec.Hub.

  2. В поле SSO attribute name укажите название поля атрибута SSO-сервиса, который выбран для идентификации групп пользователей при сопоставлении ролевой модели.

  3. В поле SSO attribute value укажите значение атрибута SSO-сервиса, который выбран для идентификации групп пользователей при сопоставлении ролевой модели.

  4. Для добавления следующего ряда параметров нажимайте кнопку Add mapping.

  5. Выполнив сопоставление всех ролей, нажмите кнопку Save.

Сопоставление групп

Примечание

Для сопоставления ролей и групп необходимо предварительно выполнить настройки соответствующих атрибутов SSO-сервиса.

Сопоставление групп определяет соответствие между группами SSO-пользователей и командами в AppSec.Hub. Если сопоставление настроено, команды в AppSec.Hub назначаются SSO-пользователям автоматически.

Примечание

Если сопоставление групп не выполнено, новые SSO-пользователи добавляются в команду Default Team.

Сопоставление групп выполняется на вкладке Group mapping.

  1. В поле Hub team выберите группу пользователей AppSec.Hub.

  2. В поле SSO group укажите название поля атрибута SSO-сервиса, который выбран для идентификации групп пользователей при их сопоставлении.

  3. В поле SSO attribute value укажите значение атрибута SSO-сервиса, который выбран для идентификации групп пользователей при их сопоставлении.

    Примечание

    Перед значением SSO-атрибута в этом поле необходимо поставить слэш, например /DocTeam.

  4. Для добавления следующего ряда параметров нажимайте кнопку Add mapping.

  5. Выполнив сопоставление всех групп, нажмите кнопку Save.

Деактивация/активация SSO-профиля

SSO-профиль(и) можно деактивировать одним из следующих способов:

  • Находясь на странице соответствующего профиля, отключите селектор Activate SSO Service.

  • На вкладке SSO services откройте меню, нажав значок справа от соответствующего SSO-профиля, и выберите пункт Deactivate.

  • На вкладке SSO services выберите один или несколько SSO-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Deactivate selected.

Примечание

После деактивации SSO-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.

SSO-профили могут быть активированы вновь.

Удаление SSO-профиля

SSO-профиль(и) можно удалить одним из следующих способов:

  • На вкладке SSO services откройте меню, нажав значок справа от соответствующего SSO-профиля, и выберите пункт Delete.

  • На вкладке SSO services выберите один или несколько SSO-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Delete selected.

Примечание

После удаления SSO-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.

Авторизация SSO-пользователей

  1. На странице авторизации AppSec.Hub нажмите кнопку с названием SSO-профиля.

  2. Авторизуйтесь в открывшемся окне SSO-сервиса. После успешной авторизации в окне SSO-сервиса пользователь будет перенаправлен в AppSec.Hub для продолжения работы в системе.

Примечание

В случае изменения адреса электронной почты SSO-пользователя, он не сможет успешно авторизоваться в системе по старому логину.

Режимы работы SSO

SSO в системе имеет два режима работы:

  • Аутентификация.
  • Аутентификация и авторизация.

Если в настройках SSO не указано сопоставление ролей на вкладке Role model mapping и групп на вкладке Group mapping, система работает в режиме аутентификации. В этом режиме при входе SSO-пользователя в систему производится только его аутентификация, а роли и команды для этого SSO-пользователя при этом не переопределяются, а остаются такими, как это было ранее определено в профиле пользователя в разделах User roles и Memebrship in teams.

Если в настройках SSO было произведено сопоставление ролей на вкладке Role model mapping и/или групп на вкладке Group mapping, система работает в режиме аутентификации и авторизации. В этом режиме при входе SSO-пользователя в систему, помимо его аутентификации, производится также перенастройка его ролей и/или команд в разделах User roles и Memebrship in teams в профиле пользователя, в соответствии с мапированием ролей, указанным на вкладке Role model mapping и/или групп на вкладке Group mapping.

Примечание

Мапирование ролей влияет только на перенастройку ролей SSO-пользователя в разделе User roles. Мапирование групп влияет только на перенастройку команд SSO-пользователя в разделе Memebrship in teams.

К началу