Эта статья относится к устаревшей версии Dion on-premise 2024.05
Документация по актуальной версии Dion on-premise 2024.10 доступна по ссылке.
¶ Введение
Технология единого входа (SSO, Single Sign-On) позволяет пользователю получить доступ ĸ ĸонференциям, используя корпоративные логин и пароль. SSO DION основан на языĸе разметĸи утверждений безопасности (SAML) 2.0.
Посĸольĸу DION использует SAML 2.0, можно использовать SSO с любым поставщиĸом идентифиĸации, поддерживающим SAML 2.0.
¶ Сетевое взаимодействие
Для работы SSO требуется сетевое взаимодействие между провайдером аутентификации и сервером (балансировщиком) Dion.
- От провайдера аутентификации до сервера (балансировщика) Dion https://api-clients-dion.yourdomain.com/v1/auth/sso/saml порт 443.
- От сервера Dion Apps до провайдера аутентификации (metadata URL) порт 443.
¶ Параметры для IDP
| Сертификат подписи и шифрования | Необходимо использовать сертификат, который лежит на установочном сервере по адресу: /home/dion/on_dion/files/имя_домена/certs/ad/ |
| Relying party identifiers | https://api-clients-dion.yourdomain.com/v1/auth/sso/saml |
| SAML Assertion Consumer (POST) | https://api-clients-dion.yourdomain.com/v1/auth/sso/saml |
| Logout URL (POST) | https://api-clients-dion.yourdomain.com/v1/auth/sso/saml |
¶ Параметры для Dion
Произведите настройку провайдера аутентификации в административной панеле Dion.
Для этого необходимо перейти в раздел Организации - Ваш домен - Общие настройки - Провайдеры аутентификации - Добавить провайдер - Вход по SSO.
В настройках провайдера укажите параметры вашего ADFS:
Если требуется обновлять данные пользователя (Имя, Фамилию) при каждом входе через SSO - необходимо выключить редактирование учетных записей пользователями.
¶ Ручное добавление idp metadata в DION
В случае, если нет возможности получать метадату idp провайдера (idp_metadata_url) по http запросу (например, доступ закрыт из соображений безопасности), то есть возможность добавить эти данные в ручную в базу DION.
Для этого необходимо получить файл с метадатой idp провайдера (metadata.xml).
Подключиться к БД DION (например, приложение dbeaver).
И полностью скопировать содержимое файла metadata.xml в БД backend, схему api_clients, таблицу adfs_auth_params, в колонку federation_metafile в строку, соответствующую idp провайдеру (если провайдеров несколько).
¶ Дополнительно
Инструкцию по настройке Microsoft ADFS можно посмотреть тут.
Инструкцию по настройке WSO2 можно посмотреть тут.