Конфигурирование интеграции с OpenID
Выполните следующие шаги под учетной записью администратора PassOffice.
Настройка PassOffice:
1. Запуск сервера PassOffice: Запустите сервер PassOffice, используя файл PassOfficeSrv.bat
.
2. Авторизация в PassOffice: Откройте браузер, введите адрес сервера PassOffice (например, localhost:80
) и авторизуйтесь под учетной записью администратора.
3. Переход к настройкам интеграции: Откройте пункт меню «Администрирование / Настройки интеграции».
4. Редактирование настроек OpenID:
Основные параметры:
ADFS discovery document URL
: URL, по которому можно получить метаданные OpenID Connect (например,https://example.com/.well-known/openid-configuration
). Это позволяет PassOffice автоматически обнаружить endpoints авторизации, токена и userInfo.Идентификатор клиента (Client ID):
идентификатор клиента, выданный PassOffice Identity Provider'ом (ADFS или другим).Алгоритм генерации токена:
алгоритм, используемый для подписи токенов (например, RS256, ES256).Connection timeout и Read timeout
: задайте значения тайм-аутов для соединения и чтения данных.
• Вкладка «SSL»:
Добавьте сертификат для защищенного соединения.
Поддерживаются сертификаты x509, хранилища JKS и PKCS12.
Включите настройку "Упрощенная проверка" для отключения проверки хоста и домена (не рекомендуется для production-сред).
• Вкладка «Настройки операторов»:
Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками оператора" в PassOffice.
Приоритет настроек при импорте/саморегистрации: если не указано соответствие для конкретной группы AD, используются корневые (базовые) настройки аудита и каналов. Если соответствие указано, используются настройки оператора, соответствующие группе AD.
Обновление настроек: настройки оператора обновляются при повторном импорте, но не при повторном входе. Это важно учитывать при внесении изменений в настройки оператора.
• Вкладка «Настройки внешнего вида»:
Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками внешнего вида" в PassOffice.
В случае, если у пользователя несколько групп, подходящих под отображение, ему будут присвоены те настройки оператора, которые в таблице указаны выше.
• Вкладка «Саморегистрация»:
Разрешать саморегистрацию: если флажок установлен, пользователи смогут создавать учетные записи PassOffice при первом входе через OpenID. Укажите настройки по умолчанию для вновь созданных учетных записей.
Синхронизировать роли при входе: автоматически синхронизирует роли пользователей при каждом входе в PassOffice.
Синхронизировать настройки при входе: автоматически синхронизирует настройки пользователя при каждом входе.
Стратегия разрешения конфликтов при обнаружении совпадений:
Приоритет импортируемой системы (OpenID): данные из AD перезаписывают данные в PassOffice. Что делать, если нет каких-либо данных в сторонней системе:
Игнорировать: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то оно останется неизменным.
Очищать в бюро пропусков: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то поле в PassOffice будет очищено.
Приоритет данных в бюро пропусков (PassOffice): Данные в PassOffice сохраняются, даже если они отличаются от данных в AD. Если каких-то полей нет в PassOffice, но есть в Active Directory, то они заменяются на соотвествующие из Active Directory.
Вкладка «Данные»:
Active Directory: используйте Active Directory в качестве источника данных для атрибутов пользователя. Это предполагает, что Identity Provider (например, ADFS) настроен для получения информации из AD.
JWT Token: используйте JWT (JSON Web Token), полученный от Identity Provider'а, для получения атрибутов пользователя. В этом случае, необходимо настроить сопоставление клеймов JWT с полями PassOffice.
Маска даты рождения: формат даты рождения, используемый в OpenID (например,
dd/MM/yyyy
). Важно, чтобы этот формат совпадал с форматом, используемым в PassOffice.Маска ФИО: порядок импорта ФИО из атрибутов OpenID (например,
{name} {surname} {middlename}
). Это определяет, как PassOffice соберет ФИО из различных полей OpenID.Определите, каким полям в PassOffice соответствуют атрибуты в OpenID. Например:
ФИО=displayName
,Имя=givenName,GivenName
(поиск ведется сначала в поле givenName, а затем, если оно не заполнено, в поле GivenName.
Фамилия=sn
Почта=mail
Логин=userPrincipalName
Телефон=telephoneNumber
Рабочий телефон=telephoneNumber
Комната=physicalDeliveryOfficeName
Отдел=department
Должность=title
Организация=Company
Страна=co
На следующем шаге задайте соответствие ролей, указав название и атрибут:
Подача заявок=requestRole
Согласование заявок=acceptRole
Выдача пропусков=issueRole
Работа с реестром=reportRole
Администрирование=adminRole
Картотека=cardlibRole
Управлекние доступом без заявки= Role
Дежурный режим=guardRole
Терминалы=terminalRole
История проходов=passHistoryRole
Изъятие пропусков=withdrawRole
Перевыдача пропусков=reissueRole
Служба безопасности=securityRole
• Тест соединения: обязательно проведите тест соединения после ввода параметров.
Успешный тест: активируйте настройки соединения с OpenID.
Ошибка: проверьте логи сервера PassOffice для выявления и устранения проблемы.
• Реактивация/Деактивация соединения: используйте соответствующие кнопки для управления состоянием соединения с OpenID.
Last updated
Was this helpful?