Регистрация приложений в Blitz Identity Provider#

О приложениях#

Регистрация приложений в Blitz Identity Provider необходима для того, чтобы приложения могли использовать предоставляемые Blitz Identity Provider сервисы:

  • запрашивать идентификацию и аутентификацию пользователей;

  • вызывать REST-сервисы Blitz Identity Provider.

Управление приложениями осуществляется в разделе Приложения консоли управления.

../_images/image040.png

Встроенные приложения#

В Blitz Identity Provider по умолчанию добавлены учетные записи следующих приложений:

  • blitz-console - консоль управления Blitz Identity Provider.

    Совет

    Используйте данное приложение при настройке входа в консоль управления через SSO.

  • blitz-panel - витрина, предоставляющая доступ пользователей к подключенным приложениям.

  • Blitz Key - мобильное приложение Blitz Key, расширяющее возможности Blitz Identity Provider, реализующее push- и TOTP-аутентификацию на втором факторе.

Создание учетной записи нового приложения#

Для подключения нового веб-приложения необходимо перейти в раздел Приложения консоли и выбрать пункт Добавить приложение. Это действие запустит мастер подключения нового приложения, работа которого включает в себя следующие шаги:

Шаг 1. Базовые настройки

Требуется указать идентификатор подключаемого приложения (при подключении по протоколу SAML идентификатор соответствует entityID, при подключении по OAuth 2.0 – client_id), его название и домен, т.е. URL, по которому доступно данное приложение.

Важно

При задании идентификатора для OAuth 2.0 недопустимо использовать двоеточие и тильду.

Название приложения используется в дальнейшем в Blitz Identity Provider при отображении на странице входа в случае инициирования приложением запроса на идентификацию пользователя.

Домен приложения используется при необходимости перенаправления пользователя в приложение из веб-страниц Blitz Identity Provider. Перенаправление осуществляется на указанный домен или на переданный в процессе взаимодействия с Blitz Identity Provider специализированный redirect_uri, но при этом выполняется сверка, что redirect_uri соответствует заданному в настройке приложения домену.

../_images/image041.png

Шаг 2. Задание стартовой страницы приложения и выбор шаблона страницы входа

В поле Стартовая страница приложения рекомендуется задать ссылку на вход в приложение, инициирующую запрос идентификации и аутентификации.

В списке Шаблон страниц необходимо выбрать, на основе какого шаблона должна отображаться страница входа при попытке доступа пользователя в данное приложение. Инструкция по созданию нового шаблона входа приведена здесь.

При необходимости можно указать ключ шифрования идентификаторов (домен приватности). Создание домена приватности обеспечивает уникальность идентификатора пользователя, полученного приложением по результатам аутентификации, т.е. этот идентификатор будет уникальным, но специфичным для данного приложения. Иными словами, если запрос на получение данных пользователя будет инициировать приложение из другого домена приватности, то оно будет получать другое значение идентификатора пользователя. При нажатии на поле будут отображены сконфигурированные ранее ключи шифрования, с возможность задать новый. Приложения, имеющие общий ключ шифрования, будут получать идентичный идентификатор пользователя.

На данном шаге вы также можете задать метки, чтобы далее использовать их при настройке логики работы с приложением, например, анализировать в процедуре входа.

../_images/image042.png

Шаг 3. Настройка правил доступа в приложения

Можно настроить правила, на основе которых Blitz Identity Provider будет принимать решение, впускать или нет пользователя в приложение.

../_images/image044.png

Правила контроля доступа можно добавить с помощью конфигуратора или вручную с помощью RQL-выражения (см. рисунки ниже).

Правила могут проверять, что пользователь:

  1. включен в нужную группу пользователей. Настройка Группы в конфигураторе или правило contains(grps,GRP1,GRP2,…);

  2. имеет требуемое право доступа. Настройка Полномочие в конфигураторе или правило contains(rights.its.SYSTEM,RIGHT_1,RIGHT2,…);

  3. имеет указанное значение атрибута. Настройка Утверждение в конфигураторе или выражение с атрибутом. Например:

    • Правило ne(sub,user) (утверждение sub != user в конфигураторе) означает, что приложение пустит всех, у кого sub не совпадает польностью со значением user. То есть пользователь со значением sub = user1 получит доступ к приложению, в то время, как пользователю со значением sub = user доступ будет запрещен;

    • Правило contains(memberOf,cn%3d1147746651733%2cou%3dgroup...dc%3dlocal) означает, что приложение пустит тех, кто есть в группе с идентификатором 1147746651733;

    • Правило notContains(memberOf,cn%3d1147746651733%2cou%3dgroups...dc%3dlocal) означает, что приложение пустит тех, кого нет в группе с идентификатором 1147746651733.

    Внимание

    Функции contains() и notContains() корректно работают только при URL-кодировании специальных символов, например, символ = должен быть URL-кодирован как %3d. Иначе возможна ошибка обработки запроса (HTTP 500).

Конфигуратор:

../_images/image044_1.png

RQL-выражения:

../_images/image044_2.png

Шаг 4. Настройки протоколов подключения

Необходимо настроить один или несколько протоколов подключения приложения к Blitz Identity Provider.

../_images/image043.png

Поддерживаются следующие протоколы подключения:

  • SAML – для подключения приложений по SAML 1.0, 1.1, 2.0 и WS-Federation для идентификации и аутентификации пользователей.

  • OAuth 2.0 – для подключения приложений по OAuth 2.0, OpenID Connect 1.0 (OIDC) для идентификации и аутентификации пользователей. В рамках этого протокола возможно конфигурирование динамической регистрации клиентов.

  • Simple – для подключения веб-приложений для осуществления идентификации и аутентификации с помощью подстановки в приложение логина и пароля с proxy-сервера, если приложение не поддерживает возможности подключения по SAML/OIDC.

  • REST – для подключения приложений, использующих REST-сервисы Blitz Identity Provider по регистрации/изменению учетных записей, управлению устройствами аутентификации пользователей.

  • RADIUS – для подключения к сетевым службам по протоколу RADIUS.

Если организация планирует разработку или доработку собственных приложений для подключения их к Blitz Identity Provider, то разработчикам необходимо ознакомиться с Руководством по интеграции.

Если организация планирует подключить к Blitz Identity Provider приложения, имеющие штатную поддержку подключения по SAML 1.0, SAML 1.1, SAML 2.0, WS-Federation или OIDC (OpenID Connect 1.0, OAuth 2.0), то в последующих подразделах, описываются общие настройки на стороне Blitz Identity Provider подключения произвольного приложения с поддержкой SAML/OIDC.