Avanpost FAM/MFA+ : 6.4. Настройка управления УЗ и правами доступа при помощи Avanpost IDM

6.4. Настройка управления УЗ и правами доступа при помощи Avanpost IDM

Общие сведения

Avanpost FAM может быть подключен к Avanpost IDM 6 и Avanpost IDM 7 в качестве управляемой системы для решения следующих задач:

  • Создание учётных записей Avanpost FAM на основе кадровых событий из кадрового источника, подключенного к Avanpost IDM.
  • Управление жизненным циклом учётных записей Avanpost FAM на основе кадровых событий Avanpost IDM.
  • Управление правами доступа учётных записей Avanpost FAM на основе кадровых событий и согласования доступа по заявкам в Avanpost IDM.

Требования к инфраструктуре:

  1. Развёрнутый и настроенный Avanpost IDM 6/7.

Целевой коннектор к WebSSO

https://teamcity.avanpost.ru/job/IDMConnectors/job/WebSSO/

Настройка ресурса IDM
Коннектор: Avanpost.Idm.Connectors.Idp.dll
Таблица 1. Параметры подключения 

ПараметрОписание
base_urlАдрес  административной консоли idp
usernameЛогин пользователя
passwordПароль
client_idClient ID (или ID synonym из настроек приложения)
client_secretСекрет
metadata_urlАдрес well-known openid-configuration

Пример строки подключения: 

base_url=https://adminsso.avanpost.demo/;username=avanpost;password=P@sww0rd;client_secret=idmconnector;check_certificate=false;metadata_url=https://websso.avanpost.demo/.well-known/openid-configuration;client_id=idmconnector



Минимальный набор атрибутов учетной записи:


Настройка на стороне FAM

  1. В разделе «Приложения» нажать кнопку «Добавить приложение». 
  2. На шаге «Основные настройки» заполнить произвольное название приложения и выбрать тип «OAuth/OpenID Connect». Тип приложения в дальнейшем изменён быть не может.
  3. На шаге «Настройки интеграции» заполнить «Redirect URIs» значением, полученным от целевого приложения, и заполнить «Secret» значением, установленным на стороне целевого приложения. Если секрет не был установлен, то сформировать случайный секрет и указать его значение в данное поле (Таблица 2). Значения этих параметров могут быть скорректированы позднее.

Таблица 2.




1SecretУказать произвольный секрет, который далее будет использоваться в параметрах подключения Агента. 
2Redirect URIsАдрес формата https://ХОСТ_ПОДКЛЮЧАЕМОГО_К_FAM_ПРИЛОЖЕНИЯ/callback. 
3Base URLАдрес формата https://ХОСТ_ПОДКЛЮЧАЕМОГО_К_FAM_ПРИЛОЖЕНИЯ. Можно оставить пустым.
4LogoutОставить пустым.

4. На шаге «Настройки аутентификации» выбрать либо ранее созданный процесс аутентификации, либо создать новый. Процесс аутентификации может быть скорректирован в дальнейшем. 

5. На шаге «Завершение» можно оставить приложение активным, так как на текущий момент это не повлияет на работу пользователей.

6. Создать пользователя и затем добавить его в группу adminconsole и в группу с приложением для коннектора IDM. Также пользователь должен обладать ролью admin.

Обсуждение