[ Общие сведения ] [ Целевой коннектор к WebSSO ] [ Минимальный набор атрибутов учетной записи: ] [ Настройка на стороне FAM ]
Общие сведения
Avanpost FAM может быть подключен к Avanpost IDM 6 и Avanpost IDM 7 в качестве управляемой системы для решения следующих задач:
- Создание учётных записей Avanpost FAM на основе кадровых событий из кадрового источника, подключенного к Avanpost IDM.
- Управление жизненным циклом учётных записей Avanpost FAM на основе кадровых событий Avanpost IDM.
- Управление правами доступа учётных записей Avanpost FAM на основе кадровых событий и согласования доступа по заявкам в Avanpost IDM.
Требования к инфраструктуре:
- Развёрнутый и настроенный Avanpost IDM 6/7.
Для получения информации о настройке многофакторной аутентификации и Single-Sign On при входе в Avanpost IDM следует воспользоваться статьей Настройка MFA/SSO для Avanpost IDM.
Целевой коннектор к WebSSO
https://teamcity.avanpost.ru/job/IDMConnectors/job/WebSSO/
Настройка ресурса IDM
Коннектор: Avanpost.Idm.Connectors.Idp.dll
Параметры подключения следует задавать согласно таблице:
| Параметр | Описание |
|---|---|
base_url | Адрес административной консоли idp |
username | Логин пользователя |
password | Пароль |
client_id | Client ID (или ID synonym из настроек приложения) |
client_secret | Секрет |
metadata_url | Адрес well-known openid-configuration |
Пример строки подключения:
base_url=https://adminsso.avanpost.demo/;username=avanpost;password=P@sww0rd;client_secret=idmconnector;check_certificate=false;metadata_url=https://websso.avanpost.demo/.well-known/openid-configuration;client_id=idmconnector
Минимальный набор атрибутов учетной записи:
Настройка на стороне FAM
Для настройки на стороне Avanpost FAM требуется выполнить следующие действия:
- Открыть административную консоль Avanpost FAM Server и перейти в форму создания приложения, нажав кнопку "Добавить приложение" режима "Приложения".
- На этапе "Основные настройки" требуется задать следующие параметры (более подробно параметры OIDC-приложений описаны в статье Управление OpenID Connect-приложениями):
Параметр Значение Наименование Ввести наименование (в данном примере IDM-IDP).Тип OAuth/OpenID ConnectПоказывать приложение пользователям Выключить чекбокс (рекомендуется) - На этапе "Настройки интеграции" заполнить указанные поля в соответствии с таблицей:
Параметр Значение Secret Задать секрет (конфиденциальный ключ, который используется для аутентификации клиентского приложения), установленный на стороне целевого приложения. Redirect URIs Значением, полученным от целевого приложен в формате:
https://ХОСТ_ПОДКЛЮЧАЕМОГО_К_FAM_ПРИЛОЖЕНИЯ/callbackBase URL Адрес формата: https://ХОСТ_ПОДКЛЮЧАЕМОГО_К_FAM_ПРИЛОЖЕНИЯ. Можно оставить пустым.Logout Допускается не заполнять. - На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (особенности настройки шага описаны в разделе Управление приложениями и Управление OIDC-приложениями).
- На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания.
- В режиме "Приложения" найти ранее созданное приложение, используя встроенные инструменты поиска.
- Во вкладке "Настройки" профиля группы изменить следующие параметры:
Параметр Значение Allowed Grant Types Перевести переключатели в положение "включено" (
) напротив следующих Grant Types:- Authorization code;
- Password;
- Implicit;
- Refresh token;
- Client credentials.
Access Token Type JSON Web Token 
- Создать группу (если таковая группа на была настроена ранее), пользователи которой будет иметь доступ к коннектору Avanpost IDM:
- Нажать кнопку "Добавить группу" в режиме "Группы" и в открывшейся вкладке ввести запрашиваемые параметры (более подробно описано в разделе Управление доступом).
- Назначить ранее созданное OIDC-приложение в данную группу. Для этого в профиле группы во вкладке "Приложения" созданной группы установить переключатель в положение "Активно" (
) напротив созданного приложения.
- Перейти в режим "Пользователи" и создать нового пользователя (если такой не был создан ранее), нажав на кнопку "Добавить пользователя" и задав ему основные атрибуты (более подробно о процессе создания и управления пользователями в разделе Управление пользователями).
- Добавить созданного пользователя в группу adminconsole и в группу с приложением, созданным для коннектора IDM. Ручное добавление пользователей администратором реализуется в профиле группы.
- Присвоить пользователю роль admin:
- Перейти в профиль пользователя из режима "Пользователи"
- Во вкладке ""Группы и роли" в разделе "Роли" перевести переключатель в положение
напротив роли Admin.