Общие сведения
Avanpost FAM может быть подключен к Avanpost IDM 6 и Avanpost IDM 7 в качестве управляемой системы для решения следующих задач:
- Создание учётных записей Avanpost FAM на основе кадровых событий из кадрового источника, подключенного к Avanpost IDM.
- Управление жизненным циклом учётных записей Avanpost FAM на основе кадровых событий Avanpost IDM.
- Управление правами доступа учётных записей Avanpost FAM на основе кадровых событий и согласования доступа по заявкам в Avanpost IDM.
Требования к инфраструктуре:
- Развёрнутый и настроенный Avanpost IDM 6/7.
Целевой коннектор к WebSSO
https://teamcity.avanpost.ru/job/IDMConnectors/job/WebSSO/
Настройка ресурса IDM
Коннектор: Avanpost.Idm.Connectors.Idp.dll
Таблица 1. Параметры подключения
Параметр | Описание |
---|---|
base_url | Адрес административной консоли idp |
username | Логин пользователя |
password | Пароль |
client_id | Client ID (или ID synonym из настроек приложения) |
client_secret | Секрет |
metadata_url | Адрес well-known openid-configuration |
Пример строки подключения:
base_url=https://adminsso.avanpost.demo/;username=avanpost;password=P@sww0rd;client_secret=idmconnector;check_certificate=false;metadata_url=https://websso.avanpost.demo/.well-known/openid-configuration;client_id=idmconnector
Минимальный набор атрибутов учетной записи:
Настройка на стороне FAM
- В разделе «Приложения» нажать кнопку «Добавить приложение».
- На шаге «Основные настройки» заполнить произвольное название приложения и выбрать тип «OAuth/OpenID Connect». Тип приложения в дальнейшем изменён быть не может.
- На шаге «Настройки интеграции» заполнить «Redirect URIs» значением, полученным от целевого приложения, и заполнить «Secret» значением, установленным на стороне целевого приложения. Если секрет не был установлен, то сформировать случайный секрет и указать его значение в данное поле (Таблица 2). Значения этих параметров могут быть скорректированы позднее.
Таблица 2.
1 | Secret | Указать произвольный секрет, который далее будет использоваться в параметрах подключения Агента. |
2 | Redirect URIs | Адрес формата https://ХОСТ_ПОДКЛЮЧАЕМОГО_К_FAM_ПРИЛОЖЕНИЯ/callback. |
3 | Base URL | Адрес формата https://ХОСТ_ПОДКЛЮЧАЕМОГО_К_FAM_ПРИЛОЖЕНИЯ. Можно оставить пустым. |
4 | Logout | Оставить пустым. |
4. На шаге «Настройки аутентификации» выбрать либо ранее созданный процесс аутентификации, либо создать новый. Процесс аутентификации может быть скорректирован в дальнейшем.
5. На шаге «Завершение» можно оставить приложение активным, так как на текущий момент это не повлияет на работу пользователей.
6. Создать пользователя и затем добавить его в группу adminconsole и в группу с приложением для коннектора IDM. Также пользователь должен обладать ролью admin.