AiHummer
Azərbaycanca
Daxil ol
v1.0.x
{ }Swagger

Korporativ SSO

v1.0.x · yeniləndi 2026-06-26

AiHummer administratorları və istifadəçiləri sizin kimlik provayderinizə qarşı autentifikasiya edir. Əsas, istehsalat yolu olan nəzarət OIDC-dir, o, admin API-ni qoruyur; xarici IdP olmayan qurğular üçün yerli autentifikasiya ilə yanaşı, SAML, LDAP/ADSCIM təminatı da tətbiq olunub.

OIDC admin API-ni qoruyur

OIDC standart olaraq rədd edir və /v1/admin/*-ı qoruyan nəzarətdir. Onu AIHUMMER_OIDC_ISSUER (və əlaqəli müştəri parametrləri) ilə konfiqurasiya edin.

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

Müştərini qeydiyyatdan keçirmək və issueri qoşmaq üzrə addım-addım yol göstərən oidc-setup runbook (docs/runbooks/oidc-setup.md) mövcuddur.

[!DANGER] OIDC konfiqurasiya olunmadan admin API kimlik üçün dev başlıqlara etibar edir. Bu rejim yalnız yerli inkişaf üçündür — OIDC (və ya başqa məcburi autentifikasiya) qarşısında olmadan heç vaxt admin son nöqtəsini internetə açmayın. Hər hansı qeyri-yerli yerləşdirmədən əvvəl AIHUMMER_OIDC_ISSUER-i konfiqurasiya edin.

[!TIP] OIDC-ni IP icazə siyahısıəhatəli API açarları ilə təbəqələşdirin ki, admin girişi kimlik, şəbəkə və imtiyazla birlikdə qapılansın.

SAML

SAML tək-girişlə (single sign-on) autentifikasiya tətbiq olunub və standart xidmət-provayderi son nöqtələrini təqdim edir:

Son nöqtə Məqsəd
GET /saml/metadata IdP-niz üçün xidmət-provayderi metaməlumatları.
POST /saml/acs Assertion Consumer Service — SAML cavabını qəbul edir.
GET /saml/login SAML giriş axınını başladır.

[!NOTE] SAML tətbiq olunub, lakin hər IdP-yə qarşı tam canlı sübut edilməyib. Onu mövcud kimi qəbul edin və istehsalatda etibar etməzdən əvvəl öz konkret kimlik provayderinizə qarşı yoxlayın.

LDAP / Active Directory

LDAP/AD autentifikasiyası istifadəçiləri kataloq serverinə qarşı autentifikasiya edən mühitlər üçün tətbiq olunub.

[!NOTE] SAML-də olduğu kimi, LDAP/AD də tətbiq olunub, lakin bütün kataloq konfiqurasiyaları üzrə tam canlı sübut edilməyib. Tətbiq etməzdən əvvəl onu öz kataloqunuza qarşı yoxlayın.

SCIM təminatı

SCIM IdP-nizə istifadəçiləri standart SCIM v2 istifadəçi son nöqtələri vasitəsilə avtomatik olaraq təmin etməyə və geri çıxarmağa imkan verir:

Son nöqtə Məqsəd
GET /scim/v2/Users Təmin olunmuş istifadəçiləri sadala / sorğula.
POST /scim/v2/Users İstifadəçi yarat.
GET /scim/v2/Users/{id} Tək istifadəçini oxu.
PUT /scim/v2/Users/{id} İstifadəçini yenilə.
DELETE /scim/v2/Users/{id} İstifadəçini geri çıxar.

SCIM vasitəsilə təminat istifadəçi kataloqunu IdP-nizlə sinxron saxlayır ki, işə qoşulanlar və ayrılanlar əl ilə admin işi olmadan əks olunsun.

Yerli autentifikasiya

Xarici IdP olmadıqda AiHummer yerli autentifikasiyanı dəstəkləyir. Təzə verilənlər bazasında gateway ilk başlanğıcda jurnal-loga birdəfəlik admin parolunu çap edir; daxil olun və onu dərhal dəyişin. Yerli autentifikasiya kiçik və ya təcrid olunmuş yerləşdirmələr üçün uyğundur, lakin IdP-yə malik təşkilatlar üçün OIDC tövsiyə olunan istehsalat yolu olaraq qalır.

Yanaşma seçmək

Mexanizm Ən yaxşısı Status
OIDC Hər hansı qeyri-yerli yerləşdirmədə admin API-ni qorumaq Tövsiyə olunan istehsalat yolu
SAML SAML SSO üzərində standartlaşmış müəssisələr Tətbiq olunub; IdP-nizə qarşı yoxlayın
LDAP / AD Kataloq əsaslı autentifikasiya Tətbiq olunub; kataloqunuza qarşı yoxlayın
SCIM IdP-dən avtomatik istifadəçi təminatı Tətbiq olunub (SCIM v2 Users)
Yerli autentifikasiya IdP olmadan kiçik və ya təcrid olunmuş yerləşdirmələr Daxili

Sonra hara