Как правильно зарегистрировать приложение#

Аутентификация в терминологии SAML является результатом взаимодействия трех сторон:

  • поставщик идентификации (Identity Provider), в качестве которого выступает Blitz Identity Provider;

  • поставщик услуги (Service Provider), в качестве которого выступает подключаемое приложение;

  • веб-браузер пользователя (User Agent).

Первым шагом при подключении приложения является его регистрация в качестве поставщика услуг в Blitz Identity Provider. Нужно предварительно подготовить XML-файл с метаданными поставщика услуг или значения параметров, необходимые для самостоятельной подготовки метаданных.

Метаданные поставщика услуг описывают настройки подключения приложения к Blitz Identity Provider (например, URL конечных точек приложения, ключи для проверки ЭП). Для описания метаданных используется язык XML.

Внимание

Метаданные должны быть подготовлены по результатам выполнения работ по добавлению поддержки протокола.

Если приложение является готовым ПО, поддерживающим SAML, то метаданные должны быть получены согласно документации на это ПО. Обычно такое ПО предоставляет URL, по которому может быть получены метаданные.

Если ПО подключаемого приложения не предусматривает выгрузку метаданных, но в документации на ПО описаны параметры, которые должны быть настроены для подключения приложения, то можно указать эти параметры, так, чтобы метаданные на их основе были самостоятельно подготовлены Администратором Blitz Identity Provider.

В этом случае необходимо указать следующие параметры:

  1. Идентификатор поставщика услуг (entityID) – следует указать, только если приложению необходим конкретный entityID. Иначе entityID будет самостоятельно присвоен Администратором Blitz Identity Provider.

  2. Сертификат открытого ключа приложения (поставщика услуг) – должен быть указан только в случае, если приложение подписывает SAML-запрос при отправке к Blitz Identity Provider.

    Примечание

    Сертификат поставщика услуг отличается от TLS-сертификата подключаемого веб‑сайта. Обычно это самоподписанный сертификат с длительным сроком действия.

    Важно

    Должны использоваться ключи RSA-2048.

    Примечание

    Допустимо использовать самоподписанные сертификаты с длительным сроком действия.

  3. URL для приема от Blitz Identity Provider SAML-ответа – приложение должно предоставлять обработчик, осуществляющий прием от Blitz Identity Provider SAML-ответов с результатами входа. Обычно эта настройка приложения называется Assertion Consumer Service.

  4. URL для приема от Blitz Identity Provider запроса на логаут – выборочная настройка. Если приложение поддерживает единый логаут, то оно может предоставлять обработчик единого логаута. Обычно эта настройка приложения называется Single Logout Service Location.

  5. URL для перенаправления пользователя в приложение после успешного логаута – опциональная настройка. Если приложение поддерживает единый логаут и может инициировать единый выход, то оно может предоставлять URL для возврата пользователя после логаута. Обычно эта настройка приложения называется Single Logout Service Response Location.

  6. Перечень запрашиваемых атрибутов (SAML Assertion).

    Доступные атрибуты пользователя

    Атрибут

    Описание

    logonname

    Логин пользователя в домене

    surname

    Фамилия

    firstname

    Имя

    middlename

    Отчество

    email

    Служебный адрес электронной почты

  7. Признак необходимости передачи атрибутов в зашифрованном виде.

    Примечание

    Атрибуты в SAML-сообщении всегда передаются подписанными. Включать шифрование атрибута целесообразно, если пользователь не должен иметь возможности прочитать значение атрибута.