Avanpost FAM позволяет обеспечить 2FA/MFA для пользователей, выполняющих подключение к системе для управления проектами Jira и системе для создания единой базы знаний Confluence, разработанным компанией Atlassian. В инструкции описывается настройка 2FA/MFA с использованием OIDC-механизма системы Avanpost FAM. Использование механизма позволяет поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом OpenID Connect: пользователи получают возможность входить в приложения с помощью одного набора учётных данных.
Настройка на стороне Jira/Confluence
Настройка на стороне Atlassian Jira и Atlassian Confluence выполняется следующим образом:
- Перейти в раздел настроек аутентификации (Настройки → Безопасность → Аутентификация).
- Нажать кнопку "Добавить поставщика аутентификации" или изменить ранее настроенного поставщика.
- Задать основные параметры конфигурации
Параметр Значение Имя Наименование настраиваемой конфигурации. Метод проверки подлинности Выбрать "Система единого входа OpenID Connect". Настройки OpenID Connect
URL эмитента Указать URL-адрес поставщика услуг, например: https://idp.avanpost.localИдентификатор клиента Указать идентификатор клиентского приложения в системе Avanpost FAM (параметр Client IDв профиле приложения).Секретный код клиента Задать конфиденциальный ключ, который будет использоваться для аутентификации клиентского приложения. Сопоставление имен пользователей Настроить сопоставление атрибутов (логина): ${preferred_username}.Дополнительные параметры scope Задать области доступа scope, т.е. набор разрешений, которые может запросить клиентское приложение у Avanpost FAM:
email, profile.Доступ к scope
openidпредоставляется по умолчанию.Поведение OpenID Connect
Запоминать успешные входы пользователей Включить флаг (рекомендуется).
Настройки страницы входа
Показывать IdP на странице входа Включить флаг.
Текст кнопки входа Ввести текст, который будет отображаться пользователям на странице входа.
- Нажать кнопку "Сохранить конфигурацию".
Настройка на стороне Avanpost FAM
Для настройки на стороне Avanpost FAM требуется выполнить следующие действия:
- Открыть административную консоль Avanpost FAM Server и перейти в форму создания приложения, нажав кнопку "Добавить приложение" режима "Приложения".
- На этапе "Основные настройки" требуется задать следующие параметры (более подробно параметры OIDC-приложений описаны в статье Управление OpenID Connect-приложениями):
Параметр Значение Наименование Ввести наименование. Тип OAuth/OpenID ConnectПоказывать приложение пользователям Выключить чекбокс (рекомендуется) - На этапе "Настройки интеграции" заполнить указанные поля в соответствии с таблицей:
Параметр Значение Secret Задать секрет (конфиденциальный ключ, который используется для аутентификации клиентского приложения), установленный на стороне целевого приложения. Base URL Базовый URL. Указать значение, полученное от целевого приложен в формате (в качестве
host_nameуказать значение хоста подключаемого к FAM приложения):http://host-name/plugins/servlet/oidc/initiate-loginRedirect URIs URIs перенаправления в формате (в качестве
host_nameуказать значение хоста подключаемого к FAM приложения):http://host-name/plugins/servlet/oidc/callbackLogout Допускается не заполнять. Используется для реализации выхода пользователя без перенаправления в браузере (серверный выход). - На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (особенности настройки шага описаны в разделе Управление приложениями и Управление OIDC-приложениями).
- На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания.
- Перейти в профиль приложения из режима "Приложения" административной консоли. Во вкладке "Настройки интеграции" в разделе Allowed Grant Types включить Authorization Code и Refresh Token.
- Убедиться, что прочие настройки указаны верно и нажать "Сохранить".
