Сервер BOOCO Meteor (v 1.x) / Настройка работы со службами каталогов

Настройка работы со службами каталогов

Настройка работы с LDAP/Active Directory

Настройка работы со службой каталогов Google

◼ Настройка работы со службой авторизации SAML

Удаление службы каталогов

Настройка правил синхронизации служб каталогов

Настройка авторизации по SAML позволяет пользователям входить в BOOCO через корпоративную учетную запись (Single Sign-on, SSO).

Это упрощает процесс авторизации в случае, когда для доступа к корпоративным веб-приложениям сотрудники должны пройти аутентификацию с помощью Active Directory Federation Services (AD FS):

• не нужно запоминать отдельный пароль для входа в BOOCO;
• для доступа к BOOCO и к другим веб-приложениям, использующим AD FS, достаточно войти в учетную запись только один раз с одним логином и паролем.

<aside> ⚠️ Исходные требования

• Должны быть настроены службы федерации Active Directory Federation Services (AD FS)
• Веб-приложение BOOCO должно быть зарегистрировано в AD FS, чтобы в него можно было входить через корпоративную учетную запись (SSO). Пример с регистрацией веб-приложения в AD FS
• Сервер BOOCO должен быть доступен по протоколу https </aside>

Порядок настройки авторизации по SAML

1. В разделе Настройки → Службы каталогов нажмите Добавить и выберите Служба авторизации SAML.

2. Добавьте параметры службы авторизации SAML, которую вы используете:

   • Имя:* название службы авторизации SAML на сервере BOOCO;
   • Точка входа (entrypoint URL)*: создается в AD FS. Например: **https://adfs.booco.ru/adfs/ls/idpinitiatedsignon.aspx**;
   • URL-адрес обратного вызова (callback URL)*: создается в AD FS;
   • Сертфикат:* публичный сертификат Identity Provider IDP. Должен быть в формате PEM-encoded X.509. Указывается в виде: ----BEGIN CERTIFICATE---- <код сертификата> ---END CERTIFICATE----

   Если нужно, укажите:

   • Контекст авторизации (AuthnContext): http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
   • Формат идентификатора (identifierFormat): urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName или urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

Пример настройки свойств службы авторизации SAML:

3. Разрешите авторизицию по SAML в BOOCO. Для этого в booco.yml добавьте значение saml в поле login-modes в разделе general.

Пример с разрешением авторизиции по SAML в booco.yml:

1. Перезапустите сервер BOOCO.
2. Проверьте, что авторизация по SAML заработала. Для этого войдите в BOOCO через корпоративную учетную запись (Single Sign-on, SSO).