Регистрация приложений в Blitz Identity Provider#

О приложениях#

Регистрация приложений в Blitz Identity Provider необходима для того, чтобы приложения могли использовать предоставляемые Blitz Identity Provider сервисы:

  • запрашивать идентификацию и аутентификацию пользователей;

  • вызывать REST-сервисы Blitz Identity Provider.

Управление приложениями осуществляется в разделе Приложения консоли управления.

../_images/image040.png

Создание учетной записи нового приложения#

Для подключения нового веб-приложения необходимо перейти в раздел «Приложения» консоли и выбрать пункт Добавить приложение. Это действие запустит мастер подключения нового приложения, работа которого включает в себя следующие шаги:

Шаг 1. Базовые настройки. Требуется указать идентификатор подключаемого приложения (при подключении по протоколу SAML идентификатор соответствует entityID, при подключении по OAuth 2.0 – client_id, при задании идентификатора для OAuth 2.0 недопустимо использовать двоеточие и тильду), его название и домен, т.е. URL, по которому доступно данное приложение.

Название приложения используется в дальнейшем в Blitz Identity Provider при отображении на странице входа в случае инициирования приложением запроса на идентификацию пользователя.

Домен приложения используется при необходимости перенаправления пользователя в приложение из веб-страниц Blitz Identity Provider. Перенаправление осуществляется на указанный домен или на переданный в процессе взаимодействия с Blitz Identity Provider специализированный redirect_uri, но при этом выполняется сверка, что redirect_uri соответствует заданному в настройке приложения домену.

../_images/image041.png

Шаг 2. Задание стартовой страницы приложения и выбор шаблона страницы входа. В поле «Стартовая страница приложения» рекомендуется задать ссылку на вход в приложение, инициирующую запрос идентификации и аутентификации.

В списке «Шаблон страниц» необходимо выбрать, на основе какого шаблона должна отображаться страница входа при попытке доступа пользователя в данное приложение. Инструкция по созданию нового шаблона входа приведена здесь.

При необходимости можно указать ключ шифрования идентификаторов («домен приватности»). Создание домена приватности обеспечивает уникальность идентификатора пользователя, полученного приложением по результатам аутентификации, т.е. этот идентификатор будет уникальным, но специфичным для данного приложения. Иными словами, если запрос на получение данных пользователя будет инициировать приложение из другого домена приватности, то оно будет получать другое значение идентификатора пользователя. При нажатии на поле будут отображены сконфигурированные ранее ключи шифрования, с возможность задать новый. Приложения, имеющие общий ключ шифрования, будут получать идентичный идентификатор пользователя.

На данном шаге вы также можете задать метки, чтобы далее использовать их при настройке логики работы с приложением, например, анализировать в процедуре входа.

../_images/image042.png

Шаг 3. Настройка правил доступа в приложения. Можно настроить правила, на основе которых Blitz Identity Provider будет принимать решение, впускать или нет пользователя в приложение.

../_images/image044.png

Правила контроля доступа можно добавить с помощью конфигуратора или вручную с помощью RQL-выражения (см. рисунки ниже). В правилах можно проверять, что пользователь включен в нужную группу пользователей (настройка «Группы» в конфигураторе или правило contains(grps,GRP1,GRP2,…)), имеет требуемое право доступа (настройка «Полномочие» в конфигураторе или правило contains(rights.its.SYSTEM,RIGHT_1,RIGHT2,…)) или имеет указанное значение атрибута (настройка «Утверждение» в конфигураторе или выражение с атрибутом).

../_images/image044_1.png
../_images/image044_2.png

Шаг 4. Настройки протоколов подключения. Необходимо настроить один или несколько протоколов подключения приложения к Blitz Identity Provider.

../_images/image043.png

Поддерживаются следующие протоколы подключения:

  • SAML – для подключения приложений по SAML 1.0, 1.1, 2.0 и WS-Federation для идентификации и аутентификации пользователей.

  • OAuth 2.0 – для подключения приложений по OAuth 2.0, OpenID Connect 1.0 (OIDC) для идентификации и аутентификации пользователей. В рамках этого протокола возможно конфигурирование динамической регистрации клиентов.

  • Simple – для подключения веб-приложений для осуществления идентификации и аутентификации с помощью подстановки в приложение логина и пароля с proxy-сервера, если приложение не поддерживает возможности подключения по SAML/OIDC.

  • REST – для подключения приложений, использующих REST-сервисы Blitz Identity Provider по регистрации/изменению учетных записей, управлению устройствами аутентификации пользователей.

  • RADIUS – для подключения к сетевым службам по протоколу RADIUS.

Если организация планирует разработку или доработку собственных приложений для подключения их к Blitz Identity Provider, то разработчикам необходимо ознакомиться с Руководством по интеграции.

Если организация планирует подключить к Blitz Identity Provider приложения, имеющие штатную поддержку подключения по SAML 1.0, SAML 1.1, SAML 2.0, WS-Federation или OIDC (OpenID Connect 1.0, OAuth 2.0), то в последующих подразделах, описываются общие настройки на стороне Blitz Identity Provider подключения произвольного приложения с поддержкой SAML/OIDC.