# Примеры конфигурирования

Инструкции по настройке Blitz Identity Provider

# Вход в консоль управления через SSO

В примере будет рассмотрен способ настройки входа в консоль управления через текущую установку Blitz Identity Provider. В качестве атрибута с ролями будет использован атрибут `memberOf`.

## Регистрация приложения

В консоли Blitz Identity Provider в разделе `Приложения` необходимо зарегистрировать приложение, от имени которого сервис `blitz-console`будет обращаться к сервису `blitz-idp`.

[![sso-console-registration.png](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/scaled-1680-/sso-console-registration.png)](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/sso-console-registration.png)

Основные параметры приложения:

- В настройке `Префиксы ссылок возврата` указать домен установки Blitz Identity Provider.
- В настройке `Допустимые разрешения` указать scope `openid`.
    
    [![sso-console-scope.png](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/scaled-1680-/sso-console-scope.png)](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/sso-console-scope.png)
- В настройке `Метод аутентификации при обращении к сервису выдачи маркеров`указать `client secret post`.
    
    [![sso-console-method.png](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/scaled-1680-/sso-console-method.png)](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/sso-console-method.png)
- В настройке `Добавляемые в маркер идентификации (id_token) утверждения` указать название `claim`, в котором будут передаваться роли.
    
    [![sso-console-claim.png](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/scaled-1680-/sso-console-claim.png)](https://docs.identityblitz.ru/kb/uploads/images/gallery/2024-08/sso-console-claim.png)

## Настройки консоли управления

В конфигурационном файле `console.conf` необходимо задать следующие параметры:

```
"login" : {
       "fp" : {
           "authUri" : "https://demo.identityblitz.com/blitz/oauth/ae",
           "clientId" : "blitz-console",
           "clientSecret" : "client-secret-value",
           "logoutUrl" : "https://demo.identityblitz.com/blitz/login/logout?post_logout_redirect_uri=https://demo.identityblitz.com/blitz/console",
           "roleClaim" : "memberOf",
           "scopes" : [
               "openid"
           ],
           "subjectClaim" : "sub",
           "tokenUri" : "https://demo.identityblitz.com/blitz/oauth/te"
       }
   },
   "net" : {
       "domain" : "demo.identityblitz.com"
   }

```

Подробное описание параметров представлено в [документации](https://docs.identityblitz.ru/latest/admin-guide/config-console.html#sso).

## Маппинг групп на роли консоли управления

В конфигурационном файле `credentials` необходимо создать роль с названием соответствующим значению, которое будет приходить в `roleClaim`, и необходимыми правами доступа.

```
{
         "name" : "cn=blitz-console-adm,ou=groups,ou=demo,dc=reaxoft,dc=loc",
         "privileges" : [
             "w_app",
             "w_system",
             "w_ui",
             "w_user",
             "r_audit"
         ]
},

```

Подробное описание прав доступа представлено в [документации](https://docs.identityblitz.ru/latest/admin-guide/config-console.html#config-roles).