AiHummer
Қазақша
Кіру
v1.0.x
{ }Swagger

Кәсіпорындық SSO

v1.0.x · жаңартылды 2026-06-26

AiHummer әкімшілер мен пайдаланушыларды сіздің сәйкестендіру провайдеріңізге қарсы аутентификациялайды. Негізгі, өндірістік жолдағы бақылау — әкімші API-ін қорғайтын OIDC; сыртқы IdP жоқ орнатулар үшін жергілікті аутентификациямен қатар SAML, LDAP/AD және SCIM провизиялауы да жүзеге асырылған.

OIDC әкімші API-ін қорғайды

OIDC — әдепкі бойынша тыйым салынады және /v1/admin/* жолын қорғайтын бақылау. Оны AIHUMMER_OIDC_ISSUER (және байланысты клиент параметрлерімен) арқылы конфигурациялаңыз.

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

Клиентті тіркеу мен issuer-ді жалғауды қадам-қадаммен сипаттайтын oidc-setup runbook (docs/runbooks/oidc-setup.md) бар.

[!DANGER] OIDC конфигурацияланбаған жағдайда, әкімші API-і сәйкестендіру үшін dev тақырыпшаларына сенеді. Бұл режим тек жергілікті әзірлеуге арналған — алдында OIDC (немесе басқа мәжбүрленген аутентификация) болмай тұрып, әкімші нүктесін ешқашан интернетке ашпаңыз. Кез келген жергілікті емес деплой алдында AIHUMMER_OIDC_ISSUER конфигурациялаңыз.

[!TIP] Әкімші қол жеткізуі сәйкестендіру, желі және артықшылық арқылы бірге шектелуі үшін OIDC-ты IP рұқсат тізімімен және ауқымды API кілттерімен қабаттаңыз.

SAML

SAML бірыңғай кіру жүзеге асырылған, стандартты қызмет-провайдер нүктелерін ашады:

Нүкте Мақсаты
GET /saml/metadata IdP-ңіз үшін қызмет-провайдер метадеректері.
POST /saml/acs Assertion Consumer Service — SAML жауабын қабылдайды.
GET /saml/login SAML кіру ағынын бастайды.

[!NOTE] SAML жүзеге асырылған, бірақ әрбір IdP-ге қарсы толық тірі дәлелденбеген. Оны қолжетімді деп қабылдап, өндірісте сүйенер алдында өзіңіздің нақты сәйкестендіру провайдеріңізге қарсы тексеріңіз.

LDAP / Active Directory

LDAP/AD аутентификациясы пайдаланушыларды каталог серверіне қарсы аутентификациялайтын орталар үшін жүзеге асырылған.

[!NOTE] SAML сияқты, LDAP/AD да жүзеге асырылған, бірақ барлық каталог конфигурацияларында толық тірі дәлелденбеген. Енгізу алдында оны өзіңіздің каталогыңызға қарсы тексеріңіз.

SCIM провизиялау

SCIM сіздің IdP-ге пайдаланушыларды стандартты SCIM v2 пайдаланушы нүктелері арқылы автоматты түрде провизиялауға және провизиядан шығаруға мүмкіндік береді:

Нүкте Мақсаты
GET /scim/v2/Users Провизияланған пайдаланушыларды тізімдеу / сұрау.
POST /scim/v2/Users Пайдаланушы құру.
GET /scim/v2/Users/{id} Жалғыз пайдаланушыны оқу.
PUT /scim/v2/Users/{id} Пайдаланушыны жаңарту.
DELETE /scim/v2/Users/{id} Пайдаланушыны провизиядан шығару.

SCIM арқылы провизиялау пайдаланушы каталогын сіздің IdP-ңізбен синхрондап ұстайды, сондықтан жаңадан келгендер мен кеткендер қолмен әкімшілік жұмыссыз көрсетіледі.

Жергілікті аутентификация

Сыртқы IdP болмаған кезде AiHummer жергілікті аутентификацияны қолдайды. Жаңа дерекқорда шлюз бірінші іске қосылғанда бір реттік admin паролін журналға басып шығарады; кіріп, оны дереу өзгертіңіз. Жергілікті аутентификация шағын немесе оқшауланған деплойларға жарамды, бірақ IdP бар ұйымдар үшін OIDC ұсынылатын өндірістік жол болып қала береді.

Тәсілді таңдау

Механизм Не үшін ыңғайлы Мәртебе
OIDC Кез келген жергілікті емес деплойда әкімші API-ін қорғау Ұсынылатын өндірістік жол
SAML SAML SSO бойынша стандартталған кәсіпорындар Жүзеге асырылған; IdP-ңізге қарсы тексеріңіз
LDAP / AD Каталогқа негізделген аутентификация Жүзеге асырылған; каталогыңызға қарсы тексеріңіз
SCIM IdP-ден пайдаланушыларды автоматты провизиялау Жүзеге асырылған (SCIM v2 Users)
Жергілікті аутентификация IdP жоқ шағын немесе оқшауланған деплойлар Кіріктірілген

Әрі қарай қайда