Конфигурирование интеграции с OpenID

Выполните следующие шаги под учетной записью администратора PassOffice.

Настройка PassOffice:

1. Запуск сервера PassOffice: Запустите сервер PassOffice, используя файл PassOfficeSrv.bat.

2. Авторизация в PassOffice: Откройте браузер, введите адрес сервера PassOffice (например, localhost:80) и авторизуйтесь под учетной записью администратора.

3. Переход к настройкам интеграции: Откройте пункт меню «Администрирование / Настройки интеграции».

4. Редактирование настроек OpenID:

  • Основные параметры:

  • ADFS discovery document URL : URL, по которому можно получить метаданные OpenID Connect (например, https://example.com/.well-known/openid-configuration). Это позволяет PassOffice автоматически обнаружить endpoints авторизации, токена и userInfo.

  • Идентификатор клиента (Client ID): идентификатор клиента, выданный PassOffice Identity Provider'ом (ADFS или другим).

  • Алгоритм генерации токена: алгоритм, используемый для подписи токенов (например, RS256, ES256).

  • Connection timeout и Read timeout: задайте значения тайм-аутов для соединения и чтения данных.

Вкладка «SSL»:

  • Добавьте сертификат для защищенного соединения.

  • Поддерживаются сертификаты x509, хранилища JKS и PKCS12.

  • Включите настройку "Упрощенная проверка" для отключения проверки хоста и домена (не рекомендуется для production-сред).

Вкладка «Настройки операторов»:

  • Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками оператора" в PassOffice.

  • Приоритет настроек при импорте/саморегистрации: если не указано соответствие для конкретной группы AD, используются корневые (базовые) настройки аудита и каналов. Если соответствие указано, используются настройки оператора, соответствующие группе AD.

  • Обновление настроек: настройки оператора обновляются при повторном импорте, но не при повторном входе. Это важно учитывать при внесении изменений в настройки оператора.

Вкладка «Настройки внешнего вида»:

  • Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками внешнего вида" в PassOffice.

В случае, если у пользователя несколько групп, подходящих под отображение, ему будут присвоены те настройки оператора, которые в таблице указаны выше.

Вкладка «Саморегистрация»:

  • Разрешать саморегистрацию: если флажок установлен, пользователи смогут создавать учетные записи PassOffice при первом входе через OpenID. Укажите настройки по умолчанию для вновь созданных учетных записей.

  • Синхронизировать роли при входе: автоматически синхронизирует роли пользователей при каждом входе в PassOffice.

  • Синхронизировать настройки при входе: автоматически синхронизирует настройки пользователя при каждом входе.

  • Стратегия разрешения конфликтов при обнаружении совпадений:

  • Приоритет импортируемой системы (OpenID): данные из AD перезаписывают данные в PassOffice. Что делать, если нет каких-либо данных в сторонней системе:

    • Игнорировать: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то оно останется неизменным.

    • Очищать в бюро пропусков: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то поле в PassOffice будет очищено.

  • Приоритет данных в бюро пропусков (PassOffice): Данные в PassOffice сохраняются, даже если они отличаются от данных в AD. Если каких-то полей нет в PassOffice, но есть в Active Directory, то они заменяются на соотвествующие из Active Directory.

Вкладка «Данные»:

  • Active Directory: используйте Active Directory в качестве источника данных для атрибутов пользователя. Это предполагает, что Identity Provider (например, ADFS) настроен для получения информации из AD.

  • JWT Token: используйте JWT (JSON Web Token), полученный от Identity Provider'а, для получения атрибутов пользователя. В этом случае, необходимо настроить сопоставление клеймов JWT с полями PassOffice.

  • Маска даты рождения: формат даты рождения, используемый в OpenID (например, dd/MM/yyyy). Важно, чтобы этот формат совпадал с форматом, используемым в PassOffice.

  • Маска ФИО: порядок импорта ФИО из атрибутов OpenID (например, {name} {surname} {middlename}). Это определяет, как PassOffice соберет ФИО из различных полей OpenID.

  • Определите, каким полям в PassOffice соответствуют атрибуты в OpenID. Например: ФИО=displayName , Имя=givenName,GivenName (поиск ведется сначала в поле givenName, а затем, если оно не заполнено, в поле GivenName.

Фамилия=sn
Почта=mail
Логин=userPrincipalName
Телефон=telephoneNumber
Рабочий телефон=telephoneNumber
Комната=physicalDeliveryOfficeName
Отдел=department
Должность=title
Организация=Company
Страна=co

На следующем шаге задайте соответствие ролей, указав название и атрибут:

Подача заявок=requestRole
Согласование заявок=acceptRole
Выдача пропусков=issueRole
Работа с реестром=reportRole
Администрирование=adminRole
Картотека=cardlibRole
Управлекние доступом без заявки= Role
Дежурный режим=guardRole
Терминалы=terminalRole
История проходов=passHistoryRole
Изъятие пропусков=withdrawRole
Перевыдача пропусков=reissueRole
Служба безопасности=securityRole

Тест соединения: обязательно проведите тест соединения после ввода параметров.

  • Успешный тест: активируйте настройки соединения с OpenID.

  • Ошибка: проверьте логи сервера PassOffice для выявления и устранения проблемы.

Реактивация/Деактивация соединения: используйте соответствующие кнопки для управления состоянием соединения с OpenID.

После внесения изменений в настройки соединения с OpenID необходимо нажать "Реактивировать", чтобы применить новые настройки.

PreviousОбщая настройкаNextКонфигурирование интеграции с DaData

Last updated

Was this helpful?