Корпоративдик SSO
AiHummer администраторлорду жана колдонуучуларды сиздин идентификация провайдериңизге карата аутентификациялайт. Негизги, өндүрүштүк жолдогу көзөмөл — bul OIDC, ал admin API’ни коргойт; SAML, LDAP/AD жана SCIM камсыздоосу да ишке ашырылган, ошондой эле тышкы IdP жок орнотуулар үчүн жергиликтүү аутентификация.
OIDC admin API’ни коргойт
OIDC демейки боюнча тыюу салат жана /v1/admin/* дарегин коргогон көзөмөл болуп
саналат. Аны AIHUMMER_OIDC_ISSUER (жана байланышкан клиент жөндөөлөрү) менен
конфигурациялаңыз.
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Клиентти каттоо жана издегичти туташтыруу боюнча кадам-кадам сүрөттөгөн oidc-setup
runbook (docs/runbooks/oidc-setup.md) бар.
[!DANGER] OIDC конфигурацияланбаса, admin API идентификация үчүн dev аталыштарына ишенет. Ал режим жергиликтүү иштеп чыгуу үчүн гана — admin акыркы чекитти алдында OIDC (же башка мажбурланган аутентификация) болбостон эч качан интернетке ачпаңыз. Жергиликтүү эмес ар кандай жайылтуудан мурда
AIHUMMER_OIDC_ISSUERжөндөңүз.
[!TIP] OIDC’ни IP уруксат тизмеси жана чектелген API ачкычтар менен катмарлаңыз, ошондо admin мүмкүнчүлүгү идентификация, тармак жана артыкчылык менен бирге башкарылат.
SAML
SAML бирдиктүү кирүү ишке ашырылган, стандарттык кызмат-провайдер акыркы чекиттерин ачат:
| Акыркы чекит | Максаты |
|---|---|
GET /saml/metadata |
Сиздин IdP үчүн кызмат-провайдер метадайындары. |
POST /saml/acs |
Assertion Consumer Service — SAML жоопту кабыл алат. |
GET /saml/login |
SAML кирүү процессин баштайт. |
[!NOTE] SAML ишке ашырылган, бирок ар бир IdP’ге карата толук жандуу далилденген эмес. Аны жеткиликтүү катары кабылдаңыз жана өндүрүштө ага таянуудан мурда өзүңүздүн конкреттүү идентификация провайдериңизге карата текшериңиз.
LDAP / Active Directory
LDAP/AD аутентификациясы колдонуучуларды каталог серверине карата аутентификациялаган чөйрөлөр үчүн ишке ашырылган.
[!NOTE] SAML сыяктуу эле, LDAP/AD ишке ашырылган, бирок бардык каталог конфигурацияларынын бардыгында толук жандуу далилденген эмес. Жайылтуудан мурда аны өзүңүздүн каталогуңузга карата текшериңиз.
SCIM камсыздоо
SCIM сиздин IdP’ге колдонуучуларды стандарттык SCIM v2 колдонуучу акыркы чекиттери аркылуу автоматтык түрдө камсыздоого жана камсыздоодон чыгарууга мүмкүндүк берет:
| Акыркы чекит | Максаты |
|---|---|
GET /scim/v2/Users |
Камсыздалган колдонуучуларды тизмелөө / сурамжылоо. |
POST /scim/v2/Users |
Колдонуучу түзүү. |
GET /scim/v2/Users/{id} |
Бир колдонуучуну окуу. |
PUT /scim/v2/Users/{id} |
Колдонуучуну жаңылоо. |
DELETE /scim/v2/Users/{id} |
Колдонуучуну камсыздоодон чыгаруу. |
SCIM аркылуу камсыздоо колдонуучу каталогун сиздин IdP менен синхрондоп турат, ошондуктан жаңы кошулгандар жана кеткендер кол менен admin иши жасалбай эле чагылдырылат.
Жергиликтүү аутентификация
Тышкы IdP жок болгондо, AiHummer жергиликтүү аутентификацияны колдойт. Жаңы
маалымат базасында издегич биринчи жолу иштегенде журналга бир жолку admin сырсөзүн
басып чыгарат; кирип, аны дароо өзгөртүңүз. Жергиликтүү аутентификация чакан же
обочолонгон жайылтуулар үчүн ылайыктуу, бирок IdP бар уюмдар үчүн OIDC сунушталган
өндүрүштүк жол бойдон калат.
Ыкманы тандоо
| Механизм | Эң жакшы | Статус |
|---|---|---|
| OIDC | Жергиликтүү эмес ар кандай жайылтууда admin API’ни коргоо | Сунушталган өндүрүштүк жол |
| SAML | SAML SSO боюнча стандартташтырылган ишканалар | Ишке ашырылган; өз IdP’ге карата текшериңиз |
| LDAP / AD | Каталогго негизделген аутентификация | Ишке ашырылган; өз каталогуңузга карата текшериңиз |
| SCIM | IdP’ден автоматтык колдонуучу камсыздоо | Ишке ашырылган (SCIM v2 Users) |
| Жергиликтүү аутентификация | IdP жок чакан же обочолонгон жайылтуулар | Курулган |
Кийинки кайда
- RBAC жана чектелген API ачкычтар — сиздин IdP аутентификациялаган идентификацияларга уруксат бериңиз.
- Тармак, аудит жана аба-боштугу — admin мүмкүнчүлүгүн тармак боюнча башкарып, аудит изин сактаңыз.
- Сырлар сейфи — эсептик маалыматтар жана токендер кайда жашайт.