Настройка Корпоративного сервера 2024
Синхронизация с Active Directory
Выполнить синхронизацию по инструкции ↗.
Настройка сервиса API
Для возможности авторизации SSO необходимо внести изменения в конфигурацию Р7 Офис 2024.
На сервере с сервисом Api отредактировать файл appsettings.json:
nano /opt/r7-office/Api/appsettings.json
Нужно добавить строку «esiaType": "saml2", как на скриншоте ниже:
В настройках Realm нужно получить ссылку для связи с Корпоративным сервером 2024:
Перейти по ссылке Endpoints SAML 2 и скопировать URL в строке:
md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location=
Далее в терминале сервера отредактируйте конфигурационный файл сервиса Sso.Api:
nano /opt/r7-office/Sso.Api/appsettings.json
В файле редактируем следующие строки конфигурации:
"Saml2": {
"IdPMetadata": "{ссылка из прошлого пункта}/descriptor",
"Issuer": "{https}://{cddisk}.{Домен Р7 2024}/saml2/Metadata",
"SignatureAlgorithm": "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
"SigningCertificateFile": "{Путь до вашего сертификата .pfx}",
"SigningCertificatePassword": "{Пароль от сертификата .pfx}",
"CertificateValidationMode": "None",
"RevocationMode": "NoCheck"
},
Пример:
Перезапустить Корпоративный сервер 2024:
supervisorctl restart all
Настройка Корпоративного сервера 2024 завершена.
Настройка keycloak
Открываем настройки нашего Realm и вкладку профиля пользователя, где можно редактировать и создавать атрибуты необходимые для нашего Realm:
Для минимальной настройки синхронизации достаточно двух атрибутов username и email.
Для корректной работы у атрибута email должна быть запись в Display name — ${mail}.
Создание клиента
Перейти в Clients — Create client:
Заполнить Client ID должен быть в формате <URL вашего cddisk>/saml2/Metadata.
Перейти в Client type — SAML:
Сохранить.
Перейти в настройки созданного клиента.
Во вкладке Keys:
Во вкладке Client scopes переходим в настройки созданной области:
Настройка новых маперов
Выбрать User Attribute и заполнить:
Аналогично создать новый mapper для mail:
После сохранения вернуться в Client details во вкладку Advanced:
Заполнить по примеру:
Сохранить каждый блок.
Синхронизация Keycloak с Active Directory
Создать новый провайдер LDAP:
Пример настроек:
Во вкладке mappers проверить настройки username.
Значение в username должно браться из такого же атрибута LDAP что и Логин в Корпоративном сервере 2024.
Если в настройках синхронизации Корпоративного сервера 2024:
Тогда в настройках username в Keycloak:
Сохранить и синхронизировать пользователей в Keycloak:
Настройка завершена, можно проверять ССО в Корпоративном сервере 2024.
При переходе на портал Корпоративного cервера 2024 появится кнопка Войти через ССО:
При нажатии на кнопку Войти через ССО откроется окно авторизации в Keycloak:
Если же авторизация в Keycloak в этом браузере уже была произведена, тогда откроется сам портал.
Важно! Если авторизация была произведена ранее в другом браузере, то при входе вновь откроется окно авторизации Keycloak.