Կորպորատիվ SSO
AiHummer-ը նույնականացնում է ադմինիստրատորներին և օգտատերերին ձեր ինքնության մատակարարի դեմ։ Հիմնական, արտադրական-ուղու վերահսկողությունը OIDC-ն է, որը պաշտպանում է ադմին API-ն, SAML-ը, LDAP/AD-ն և SCIM ապահովումը նույնպես իրականացված են, ինչպես նաև տեղական նույնականացումը առանց արտաքին IdP-ի կարգավորումների համար։
OIDC-ն պաշտպանում է ադմին API-ն
OIDC-ն լռությամբ-մերժում է և այն վերահսկողությունն է, որը պաշտպանում է /v1/admin/*-ը։
Կարգավորեք այն AIHUMMER_OIDC_ISSUER-ով (և հարակից հաճախորդի կարգավորումներով)։
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Կա oidc-setup runbook (docs/runbooks/oidc-setup.md), որն ուղեկցում է
հաճախորդի գրանցումը և թողարկողի միացումը։
[!DANGER] Առանց OIDC-ի կարգավորման՝ ադմին API-ն վստահում է dev վերնագրերին ինքնության համար։ Այդ ռեժիմը միայն տեղական մշակման համար է — երբեք մի՛ բացեք ադմին վերջնակետ ինտերնետին առանց OIDC-ի (կամ այլ պարտադրված նույնականացման) նրա առջևում։ Կարգավորեք
AIHUMMER_OIDC_ISSUER-ը նախքան ցանկացած ոչ-տեղական տեղակայումը։
[!TIP] Շերտավորեք OIDC-ն IP թույլատրման ցանկի և շրջանակված API բանալիների հետ, որպեսզի ադմին հասանելիությունը փակագծվի ինքնության, ցանցի և արտոնության կողմից միասին։
SAML
SAML միասնական մուտքն իրականացված է՝ բացահայտելով ստանդարտ ծառայություն- մատակարարի վերջնակետերը.
| Վերջնակետ | Նպատակ |
|---|---|
GET /saml/metadata |
Ծառայություն-մատակարարի մետատվյալներ ձեր IdP-ի համար։ |
POST /saml/acs |
Assertion Consumer Service — ստանում է SAML պատասխանը։ |
GET /saml/login |
Սկսում է SAML մուտքի հոսքը։ |
[!NOTE] SAML-ն իրականացված է, բայց լիովին կենդանի-ապացուցված չէ յուրաքանչյուր IdP-ի դեմ։ Դիտարկեք այն որպես հասանելի և վավերացրեք ձեր կոնկրետ ինքնության մատակարարի դեմ՝ նախքան արտադրության մեջ դրա վրա հույս դնելը։
LDAP / Active Directory
LDAP/AD նույնականացումն իրականացված է այն միջավայրերի համար, որոնք օգտատերերին նույնականացնում են գրացուցակի սերվերի դեմ։
[!NOTE] Ինչպես SAML-ի դեպքում, LDAP/AD-ն իրականացված է, բայց լիովին կենդանի-ապացուցված չէ գրացուցակի բոլոր կազմաձևերի համար։ Փորձարկեք այն ձեր սեփական գրացուցակի դեմ՝ նախքան ներդրումը։
SCIM ապահովում
SCIM-ը թույլ է տալիս ձեր IdP-ին ավտոմատ կերպով ապահովել և ապ-ապահովել օգտատերերին՝ ստանդարտ SCIM v2 user վերջնակետերի միջոցով.
| Վերջնակետ | Նպատակ |
|---|---|
GET /scim/v2/Users |
Ապահովված օգտատերերի ցանկ / հարցում։ |
POST /scim/v2/Users |
Ստեղծել օգտատեր։ |
GET /scim/v2/Users/{id} |
Կարդալ մեկ օգտատեր։ |
PUT /scim/v2/Users/{id} |
Թարմացնել օգտատեր։ |
DELETE /scim/v2/Users/{id} |
Ապ-ապահովել օգտատեր։ |
SCIM-ի միջոցով ապահովումը պահում է օգտատերերի գրացուցակը ձեր IdP-ի հետ համաժամանակացված, որպեսզի միանալները և հեռանալները արտացոլվեն առանց ձեռքով ադմին աշխատանքի։
Տեղական նույնականացում
Երբ չկա արտաքին IdP, AiHummer-ն աջակցում է տեղական նույնականացում։ Թարմ
տվյալների բազայի վրա gateway-ն առաջին գործարկման ժամանակ լոգում տպում է մեկանգամյա
admin գաղտնաբառ, մուտք գործեք և անմիջապես փոխեք այն։ Տեղական նույնականացումը
հարմար է փոքր կամ մեկուսացված տեղակայումների համար, բայց IdP ունեցող
կազմակերպությունների համար OIDC-ն մնում է առաջարկվող արտադրական ուղին։
Մոտեցում ընտրելը
| Մեխանիզմ | Լավագույնն է | Կարգավիճակ |
|---|---|---|
| OIDC | Ադմին API-ի պաշտպանություն ցանկացած ոչ-տեղական տեղակայման մեջ | Առաջարկվող արտադրական ուղի |
| SAML | SAML SSO-ի վրա ստանդարտացված ձեռնարկություններ | Իրականացված, վավերացրեք ձեր IdP-ի դեմ |
| LDAP / AD | Գրացուցակ-հիմնված նույնականացում | Իրականացված, վավերացրեք ձեր գրացուցակի դեմ |
| SCIM | IdP-ից օգտատերերի ավտոմատ ապահովում | Իրականացված (SCIM v2 Users) |
| Տեղական նույնականացում | Փոքր կամ մեկուսացված տեղակայումներ առանց IdP-ի | Ներկառուցված |
Ուր հաջորդ
- RBAC և շրջանակված API բանալիներ — իրավասու դարձրեք այն ինքնությունները, որ ձեր IdP-ն նույնականացնում է։
- Ցանց, աուդիտ և օդանջատ — փակագծեք ադմին հասանելիությունը ցանցով և պահեք աուդիտի հետք։
- Գաղտնիքների պահոց — որտեղ են ապրում հավատարմագրերն ու թոքենները։