Базовая настройка авторизации в Корпоративный сервер 2024 с помощью Keycloak без LDAP

  • Post category:Настройки
  • Запись изменена:24.10.2025
Print Friendly, PDF & EmailРаспечатать/сохранить в PDF

Настройка Корпоративного сервера 2024

Добавление пользователя в Корпоративный сервер 2024

При добавлении пользователя минимально необходимый набор параметров — имя, фамилия, логин, email:

Добавление пользователя в Корпоративный сервер 2024

Настройка сервиса API

Для возможности авторизации SSO необходимо внести изменения в конфигурацию Р7 Офис 2024.

На сервере с сервисом Api отредактировать файл appsettings.json:

nano /opt/r7-office/Api/appsettings.json

Нужно добавить строку "esiaType": "saml2", как на скриншоте ниже:

Настройка esiaType в appsettings.json

В настройках Realm нужно получить ссылку для связи с Корпоративным сервером 2024:

Настройки Realm в Keycloak

Перейти по ссылке Endpoints SAML 2 и скопировать URL в строке:

md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location=

Далее в терминале сервера отредактируйте конфигурационный файл сервиса Sso.Api:

nano /opt/r7-office/Sso.Api/appsettings.json

В файле редактируем следующие строки конфигурации:

"Saml2": {
    "IdPMetadata": "{ссылка из прошлого пункта}/descriptor",
    "Issuer": "{https}://{cddisk}.{Домен Р7 2024}/saml2/Metadata",
    "SignatureAlgorithm": "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
    "SigningCertificateFile": "{Путь до вашего сертификата .pfx}",
    "SigningCertificatePassword": "{Пароль от сертификата .pfx}",
    "CertificateValidationMode": "None",
    "RevocationMode": "NoCheck"
},

Пример:

Пример настройки Saml2

Перезапустить Корпоративный сервер 2024:

supervisorctl restart all

Настройка Корпоративного сервера 2024 завершена.

Настройка keycloak

Открываем настройки нашего Realm и вкладку профиля пользователя, где можно редактировать и создавать атрибуты необходимые для нашего Realm:

Профиль пользователя в Realm

Для минимальной настройки синхронизации достаточно двух атрибутов username и email.

Обратите внимание для корректной работы у атрибута email должна быть запись в Display name${mail}.

Перейти в Users и создать нового пользователя:

Создание пользователя в Keycloak

Создание клиента.

Перейти в Clients — Create client:

Создание клиента в Keycloak

Заполнить Client ID должен быть в формате <URL вашего cddisk>/saml2/Metadata.

Перейти в Client type — SAML:

Настройки Client type SAML

Сохранить.

Перейти в настройки созданного клиента:

Настройки клиента

Во вкладке Keys:

Вкладка Keys

Во вкладке Client scopes переходим в настройки созданной области:

Client scopes

Настройки области

Необходимо создать новые маперы:

Настройка маперов

Выбрать User Attribute и заполнить:

Настройка User Attribute

Аналогично создать новый mapper для mail:

Mapper для mail

После сохранения вернуться в Client details во вкладку Advanced.

Заполнить по примеру:

Advanced settings

Advanced settings продолжение

Сохранить каждый блок.

Базовая настройка завершена, можно проверять ССО в Корпоративном сервере 2024:

Проверка SSO

Была ли полезна статья?
Позвольте нам стать лучше
Дополнительные материалы
Резервное копирование/восстановление Корпоративный сервер 2024
Интеграция Р7-Графики в Корпоративный сервер 2024
Настройка Reverse proxy/Proxy для Корпоративного портала 2024
Обновление значений URL, протокола, секрета в БД Корпоративного портала 2024
Инструкция по массовом подтверждении почтовых адресов