Настройка авторизации в Корпоративном сервере 2024 с помощью Keycloak + MSAD LDAP

  • Post category:Настройки
  • Запись изменена:24.10.2025
Print Friendly, PDF & EmailРаспечатать/сохранить в PDF

Настройка Корпоративного сервера 2024

Синхронизация с Active Directory

Выполнить синхронизацию по инструкции.

Настройка сервиса API

Для возможности авторизации SSO необходимо внести изменения в конфигурацию Р7 Офис 2024.

На сервере с сервисом Api отредактировать файл appsettings.json:

nano /opt/r7-office/Api/appsettings.json

Нужно добавить строку «esiaType": "saml2", как на скриншоте ниже:

Настройка esiaType в appsettings.json

В настройках Realm нужно получить ссылку для связи с Корпоративным сервером 2024:

Настройки Realm в Keycloak

Перейти по ссылке Endpoints SAML 2 и скопировать URL в строке:

md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location=

Далее в терминале сервера отредактируйте конфигурационный файл сервиса Sso.Api:

nano /opt/r7-office/Sso.Api/appsettings.json

В файле редактируем следующие строки конфигурации:

"Saml2": {
    "IdPMetadata": "{ссылка из прошлого пункта}/descriptor",
    "Issuer": "{https}://{cddisk}.{Домен Р7 2024}/saml2/Metadata",
    "SignatureAlgorithm": "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
    "SigningCertificateFile": "{Путь до вашего сертификата .pfx}",
    "SigningCertificatePassword": "{Пароль от сертификата .pfx}",
    "CertificateValidationMode": "None",
    "RevocationMode": "NoCheck"
},

Пример:

Пример настройки Saml2

Перезапустить Корпоративный сервер 2024:

supervisorctl restart all

Настройка Корпоративного сервера 2024 завершена.

Настройка keycloak

Открываем настройки нашего Realm и вкладку профиля пользователя, где можно редактировать и создавать атрибуты необходимые для нашего Realm:

Профиль пользователя в Realm

Для минимальной настройки синхронизации достаточно двух атрибутов username и email.

Обратите внимание для корректной работы у атрибута email должна быть запись в Display name${mail}.

Создание клиента

Перейти в Clients — Create client:

Создание клиента в Keycloak

Заполнить Client ID должен быть в формате <URL вашего cddisk>/saml2/Metadata.

Перейти в Client type — SAML:

Настройки Client type SAML

Сохранить.

Перейти в настройки созданного клиента.

Настройки клиента

Во вкладке Keys:

Вкладка Keys

Во вкладке Client scopes переходим в настройки созданной области:

Client scopes

Настройки области

Настройка новых маперов

Настройка маперов

Выбрать User Attribute и заполнить:

Настройка User Attribute

Аналогично создать новый mapper для mail:

Mapper для mail

После сохранения вернуться в Client details во вкладку Advanced:

Заполнить по примеру:

Advanced settings

Advanced settings продолжение

Сохранить каждый блок.

Синхронизация Keycloak с Active Directory

Создать новый провайдер LDAP:

Создание провайдера LDAP

Пример настроек:

Настройки LDAP

Настройки LDAP продолжение

Во вкладке mappers проверить настройки username.

Значение в username должно браться из такого же атрибута LDAP что и Логин в Корпоративном сервере 2024.

Если в настройках синхронизации Корпоративного сервера 2024:

Настройки синхронизации КС

Тогда в настройках username в Keycloak:

Настройки username в Keycloak

Сохранить и синхронизировать пользователей в Keycloak:

Синхронизация пользователей

Настройка завершена, можно проверять ССО в Корпоративном сервере 2024.

Проверка SSO

Была ли полезна статья?
Позвольте нам стать лучше
Дополнительные материалы
Резервное копирование/восстановление Корпоративный сервер 2024
Интеграция Р7-Графики в Корпоративный сервер 2024
Настройка Reverse proxy/Proxy для Корпоративного портала 2024
Обновление значений URL, протокола, секрета в БД Корпоративного портала 2024
Инструкция по массовом подтверждении почтовых адресов