SAML с Keycloak

Keycloak — это платформа с открытым исходным кодом, которую можно использовать в качестве пользовательского каталога для сохранения пользовательских данных, выступая в качестве IdP для единого входа.

1. Настройте SAML в Keycloak (поставщик удостоверений).
2. Настроить SAML в Glarus BI (поставщик услуг).

Для получения дополнительной информации ознакомьтесь с нашим руководством по аутентификации с помощью SAML.

Работа в консоли Keycloak

1. Перейдите в консоль администратора Keycloak и войдите в систему как администратор.
2. Создайте тестового пользователя в меню Управление > Пользователи. Вам нужно будет заполнить поля электронной почтой, именем и фамилией.
3. Как только вы создадите хотя бы одного пользователя, в верхней части страницы Пользователи появятся вкладки навигации. Перейдите в Учётные данные, чтобы установить пароль для вашего тестового пользователя.
   • Отключите переключатель Временный.
   • Нажмите Установить пароль, чтобы сохранить изменения.
4. Создайте новый клиент системы единого входа, выбрав Управление > Клиенты > Создать.
   • Идентификатор клиента: введите слово «Glarus BI» строчными буквами.
   • Клиентский протокол: выберите «saml» из раскрывающегося списка.
   • Нажмите Сохранить.
5. Настройте SSO-клиент из формы, которая появится после сохранения:
   • Требуется подпись клиента: ОТКЛЮЧИТЬ
   • Действительные URI перенаправления: URL, по которому вы размещаете свой экземпляр Glarus BI, за которым следует косая черта (/) и звёздочка (*). Например, http://localhost:3000/*.
   • Базовый URL: заполните это значение в разделе «URL, на который IdP должен перенаправляться» из вашей Glarus BI Настройки администратора > Аутентификация > SAML.
   • Нажмите Сохранить.
6. Сопоставьте пользовательские данные с вашим клиентом SSO из Mappers > Добавить встроенный.
   • Сопоставление атрибутов пользователей в Keycloak с Glarus BI
7. Настройте поставщика услуг (Glarus BI) в разделе Настройка > Настройки области.
   • В разделе Конечные точки выберите «Метаданные поставщика удостоверений SAML 2.0».
   • Файл XML откроется в новой вкладке.
8. В файле XML обратите внимание на следующее:
   1. The URL that appears right after the following string:

      md:SingleSignOnServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=
      

   2. URL, который появляется сразу после entityID.
   3. Длинная строка, которая появляется после тега <X509Certificate>.

Сопоставление полей из Keycloak в Glarus BI

1. Перейдите в свою Glarus BI Настройки администратора > Аутентификация > SAML.
2. Введите информацию из шага 8 выше:
   • URL поставщика удостоверений SAML: URL из версии 8.1.
   • Эмитент поставщика удостоверений SAML: URL из 8.2.
   • Сертификат поставщика удостоверений SAML: строка из 8.3. Будьте осторожны при вставке этой строки - установка не будет работать, если какие-либо буквы или специальные символы неверны!
   • Имя приложения SAML: Glarus BI
3. Нажмите Сохранить изменения.
4. Убедитесь, что Аутентификация SAML включена ВКЛ в верхней части страницы.

Сопоставление атрибутов пользователей в Keycloak с Glarus BI

Keycloak по умолчанию может импортировать четыре пользовательских атрибута: имя, фамилию, адрес электронной почты и роль.

Допустим, мы хотим, чтобы электронная почта, имя и фамилия передавались между клиентом (Glarus BI) и сервером аутентификации (Keycloak).

1. Выберите «Электронная почта X500», «Имя X500» и «Фамилия X500» из флажков, которые находятся в правой части консоли.
2. Нажмите Добавить выбранное.
3. Нажмите Изменить рядом с каждым атрибутом и внесите следующие изменения:
   • Имя атрибута SAML: имя, которое Glarus BI ожидает получить.
   • Формат имени атрибута SAML: выберите «Основной» в раскрывающемся меню.

Значения атрибутов можно найти в Glarus BI Настройки администратора > Аутентификация > SAML > Атрибуты.

Устранение неполадок с SAML

Чтобы узнать о распространённых проблемах, перейдите в раздел Устранение неполадок SAML.