Кәсіпорындық SSO
AiHummer әкімшілер мен пайдаланушыларды сіздің сәйкестендіру провайдеріңізге қарсы аутентификациялайды. Негізгі, өндірістік жолдағы бақылау — әкімші API-ін қорғайтын OIDC; сыртқы IdP жоқ орнатулар үшін жергілікті аутентификациямен қатар SAML, LDAP/AD және SCIM провизиялауы да жүзеге асырылған.
OIDC әкімші API-ін қорғайды
OIDC — әдепкі бойынша тыйым салынады және /v1/admin/* жолын қорғайтын бақылау. Оны AIHUMMER_OIDC_ISSUER (және байланысты клиент параметрлерімен) арқылы конфигурациялаңыз.
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Клиентті тіркеу мен issuer-ді жалғауды қадам-қадаммен сипаттайтын oidc-setup runbook (docs/runbooks/oidc-setup.md) бар.
[!DANGER] OIDC конфигурацияланбаған жағдайда, әкімші API-і сәйкестендіру үшін dev тақырыпшаларына сенеді. Бұл режим тек жергілікті әзірлеуге арналған — алдында OIDC (немесе басқа мәжбүрленген аутентификация) болмай тұрып, әкімші нүктесін ешқашан интернетке ашпаңыз. Кез келген жергілікті емес деплой алдында
AIHUMMER_OIDC_ISSUERконфигурациялаңыз.
[!TIP] Әкімші қол жеткізуі сәйкестендіру, желі және артықшылық арқылы бірге шектелуі үшін OIDC-ты IP рұқсат тізімімен және ауқымды API кілттерімен қабаттаңыз.
SAML
SAML бірыңғай кіру жүзеге асырылған, стандартты қызмет-провайдер нүктелерін ашады:
| Нүкте | Мақсаты |
|---|---|
GET /saml/metadata |
IdP-ңіз үшін қызмет-провайдер метадеректері. |
POST /saml/acs |
Assertion Consumer Service — SAML жауабын қабылдайды. |
GET /saml/login |
SAML кіру ағынын бастайды. |
[!NOTE] SAML жүзеге асырылған, бірақ әрбір IdP-ге қарсы толық тірі дәлелденбеген. Оны қолжетімді деп қабылдап, өндірісте сүйенер алдында өзіңіздің нақты сәйкестендіру провайдеріңізге қарсы тексеріңіз.
LDAP / Active Directory
LDAP/AD аутентификациясы пайдаланушыларды каталог серверіне қарсы аутентификациялайтын орталар үшін жүзеге асырылған.
[!NOTE] SAML сияқты, LDAP/AD да жүзеге асырылған, бірақ барлық каталог конфигурацияларында толық тірі дәлелденбеген. Енгізу алдында оны өзіңіздің каталогыңызға қарсы тексеріңіз.
SCIM провизиялау
SCIM сіздің IdP-ге пайдаланушыларды стандартты SCIM v2 пайдаланушы нүктелері арқылы автоматты түрде провизиялауға және провизиядан шығаруға мүмкіндік береді:
| Нүкте | Мақсаты |
|---|---|
GET /scim/v2/Users |
Провизияланған пайдаланушыларды тізімдеу / сұрау. |
POST /scim/v2/Users |
Пайдаланушы құру. |
GET /scim/v2/Users/{id} |
Жалғыз пайдаланушыны оқу. |
PUT /scim/v2/Users/{id} |
Пайдаланушыны жаңарту. |
DELETE /scim/v2/Users/{id} |
Пайдаланушыны провизиядан шығару. |
SCIM арқылы провизиялау пайдаланушы каталогын сіздің IdP-ңізбен синхрондап ұстайды, сондықтан жаңадан келгендер мен кеткендер қолмен әкімшілік жұмыссыз көрсетіледі.
Жергілікті аутентификация
Сыртқы IdP болмаған кезде AiHummer жергілікті аутентификацияны қолдайды. Жаңа дерекқорда шлюз бірінші іске қосылғанда бір реттік admin паролін журналға басып шығарады; кіріп, оны дереу өзгертіңіз. Жергілікті аутентификация шағын немесе оқшауланған деплойларға жарамды, бірақ IdP бар ұйымдар үшін OIDC ұсынылатын өндірістік жол болып қала береді.
Тәсілді таңдау
| Механизм | Не үшін ыңғайлы | Мәртебе |
|---|---|---|
| OIDC | Кез келген жергілікті емес деплойда әкімші API-ін қорғау | Ұсынылатын өндірістік жол |
| SAML | SAML SSO бойынша стандартталған кәсіпорындар | Жүзеге асырылған; IdP-ңізге қарсы тексеріңіз |
| LDAP / AD | Каталогқа негізделген аутентификация | Жүзеге асырылған; каталогыңызға қарсы тексеріңіз |
| SCIM | IdP-ден пайдаланушыларды автоматты провизиялау | Жүзеге асырылған (SCIM v2 Users) |
| Жергілікті аутентификация | IdP жоқ шағын немесе оқшауланған деплойлар | Кіріктірілген |
Әрі қарай қайда
- RBAC және ауқымды API кілттері — IdP-ңіз аутентификациялайтын сәйкестіктерді авторизациялаңыз.
- Желі, аудит және air-gapped — әкімші қол жеткізуін желі бойынша шектеп, аудит ізін сақтаңыз.
- Құпиялар сейфі — деректемелер мен токендер қайда тұрады.