AiHummer
Հայերեն
Մուտք
v1.0.x
{ }Swagger

Կորպորատիվ SSO

v1.0.x · թարմացվել է 2026-06-26

AiHummer-ը նույնականացնում է ադմինիստրատորներին և օգտատերերին ձեր ինքնության մատակարարի դեմ։ Հիմնական, արտադրական-ուղու վերահսկողությունը OIDC-ն է, որը պաշտպանում է ադմին API-ն, SAML-ը, LDAP/AD-ն և SCIM ապահովումը նույնպես իրականացված են, ինչպես նաև տեղական նույնականացումը առանց արտաքին IdP-ի կարգավորումների համար։

OIDC-ն պաշտպանում է ադմին API-ն

OIDC-ն լռությամբ-մերժում է և այն վերահսկողությունն է, որը պաշտպանում է /v1/admin/*-ը։ Կարգավորեք այն AIHUMMER_OIDC_ISSUER-ով (և հարակից հաճախորդի կարգավորումներով)։

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

Կա oidc-setup runbook (docs/runbooks/oidc-setup.md), որն ուղեկցում է հաճախորդի գրանցումը և թողարկողի միացումը։

[!DANGER] Առանց OIDC-ի կարգավորման՝ ադմին API-ն վստահում է dev վերնագրերին ինքնության համար։ Այդ ռեժիմը միայն տեղական մշակման համար է — երբեք մի՛ բացեք ադմին վերջնակետ ինտերնետին առանց OIDC-ի (կամ այլ պարտադրված նույնականացման) նրա առջևում։ Կարգավորեք AIHUMMER_OIDC_ISSUER-ը նախքան ցանկացած ոչ-տեղական տեղակայումը։

[!TIP] Շերտավորեք OIDC-ն IP թույլատրման ցանկի և շրջանակված API բանալիների հետ, որպեսզի ադմին հասանելիությունը փակագծվի ինքնության, ցանցի և արտոնության կողմից միասին։

SAML

SAML միասնական մուտքն իրականացված է՝ բացահայտելով ստանդարտ ծառայություն- մատակարարի վերջնակետերը.

Վերջնակետ Նպատակ
GET /saml/metadata Ծառայություն-մատակարարի մետատվյալներ ձեր IdP-ի համար։
POST /saml/acs Assertion Consumer Service — ստանում է SAML պատասխանը։
GET /saml/login Սկսում է SAML մուտքի հոսքը։

[!NOTE] SAML-ն իրականացված է, բայց լիովին կենդանի-ապացուցված չէ յուրաքանչյուր IdP-ի դեմ։ Դիտարկեք այն որպես հասանելի և վավերացրեք ձեր կոնկրետ ինքնության մատակարարի դեմ՝ նախքան արտադրության մեջ դրա վրա հույս դնելը։

LDAP / Active Directory

LDAP/AD նույնականացումն իրականացված է այն միջավայրերի համար, որոնք օգտատերերին նույնականացնում են գրացուցակի սերվերի դեմ։

[!NOTE] Ինչպես SAML-ի դեպքում, LDAP/AD-ն իրականացված է, բայց լիովին կենդանի-ապացուցված չէ գրացուցակի բոլոր կազմաձևերի համար։ Փորձարկեք այն ձեր սեփական գրացուցակի դեմ՝ նախքան ներդրումը։

SCIM ապահովում

SCIM-ը թույլ է տալիս ձեր IdP-ին ավտոմատ կերպով ապահովել և ապ-ապահովել օգտատերերին՝ ստանդարտ SCIM v2 user վերջնակետերի միջոցով.

Վերջնակետ Նպատակ
GET /scim/v2/Users Ապահովված օգտատերերի ցանկ / հարցում։
POST /scim/v2/Users Ստեղծել օգտատեր։
GET /scim/v2/Users/{id} Կարդալ մեկ օգտատեր։
PUT /scim/v2/Users/{id} Թարմացնել օգտատեր։
DELETE /scim/v2/Users/{id} Ապ-ապահովել օգտատեր։

SCIM-ի միջոցով ապահովումը պահում է օգտատերերի գրացուցակը ձեր IdP-ի հետ համաժամանակացված, որպեսզի միանալները և հեռանալները արտացոլվեն առանց ձեռքով ադմին աշխատանքի։

Տեղական նույնականացում

Երբ չկա արտաքին IdP, AiHummer-ն աջակցում է տեղական նույնականացում։ Թարմ տվյալների բազայի վրա gateway-ն առաջին գործարկման ժամանակ լոգում տպում է մեկանգամյա admin գաղտնաբառ, մուտք գործեք և անմիջապես փոխեք այն։ Տեղական նույնականացումը հարմար է փոքր կամ մեկուսացված տեղակայումների համար, բայց IdP ունեցող կազմակերպությունների համար OIDC-ն մնում է առաջարկվող արտադրական ուղին։

Մոտեցում ընտրելը

Մեխանիզմ Լավագույնն է Կարգավիճակ
OIDC Ադմին API-ի պաշտպանություն ցանկացած ոչ-տեղական տեղակայման մեջ Առաջարկվող արտադրական ուղի
SAML SAML SSO-ի վրա ստանդարտացված ձեռնարկություններ Իրականացված, վավերացրեք ձեր IdP-ի դեմ
LDAP / AD Գրացուցակ-հիմնված նույնականացում Իրականացված, վավերացրեք ձեր գրացուցակի դեմ
SCIM IdP-ից օգտատերերի ավտոմատ ապահովում Իրականացված (SCIM v2 Users)
Տեղական նույնականացում Փոքր կամ մեկուսացված տեղակայումներ առանց IdP-ի Ներկառուցված

Ուր հաջորդ