Kärhana SSO
AiHummer administratorlary we ulanyjylary siziň şahsyýet üpjün edijiňize garşy autentifikasiýa edýär. Esasy, önümçilik-ýoly gözegçilik OIDC bolup, ol admin API-ni goraýar; SAML, LDAP/AD we SCIM üpjün etmek hem amala aşyrylan, daşarky IdP bolmadyk gurnamalar üçin ýerli auth bilen birlikde.
OIDC admin API-ni goraýar
OIDC deslapky görnüşde ret edýär we /v1/admin/*-ny goraýan gözegçilikdir.
Ony AIHUMMER_OIDC_ISSUER (we degişli müşderi sazlamalary) bilen sazlaň.
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Müşderini hasaba almak we issuer-i birikdirmek boýunça ädimme-ädim alyp barýan
oidc-setup runbook (docs/runbooks/oidc-setup.md) bar.
[!DANGER] OIDC sazlanmadyk halatynda admin API şahsyýet üçin dev sözbaşylaryna ynanýar. Bu rejim diňe ýerli işläp düzmek üçindir — hiç haçan admin nokadyny öňünde OIDC (ýa-da başga güýçlendirilen auth) bolmazdan internete açmaň. Islendik ýerli däl ýerleşdirmezden ozal
AIHUMMER_OIDC_ISSUER-i sazlaň.
[!TIP] Admin elýeterliligi şahsyýet, tor we artykmaçlyk bilen bilelikde derwezelener ýaly OIDC-ni IP rugsat sanawy we çäklendirilen API açarlary bilen gatlaklaň.
SAML
SAML ýeke girişli giriş amala aşyrylan, standart hyzmat-üpjün ediji nokatlaryny açýar:
| Nokat | Maksat |
|---|---|
GET /saml/metadata |
Siziň IdP-ňiz üçin hyzmat-üpjün ediji metadatasy. |
POST /saml/acs |
Assertion Consumer Service — SAML jogabyny kabul edýär. |
GET /saml/login |
SAML giriş akymyny başladýar. |
[!NOTE] SAML amala aşyrylan, ýöne her IdP-ä garşy doly janly-subut edilmedik. Ony elýeterli hökmünde kabul ediň we önümçilikde oňa bil baglamazdan ozal anyk şahsyýet üpjün edijiňize garşy barlaň.
LDAP / Active Directory
LDAP/AD autentifikasiýasy ulanyjylary katalog serwerine garşy autentifikasiýa edýän gurşawlar üçin amala aşyrylan.
[!NOTE] SAML-da bolşy ýaly, LDAP/AD hem amala aşyrylan, ýöne ähli katalog konfigurasiýalary boýunça doly janly-subut edilmedik. Ýaýratmazdan ozal ony öz kataloglyňyza garşy synaň.
SCIM üpjün etmek
SCIM siziň IdP-ňize standart SCIM v2 ulanyjy nokatlary arkaly ulanyjylary awtomatiki üpjün etmäge we üpjün etmegi ýatyrmaga mümkinçilik berýär:
| Nokat | Maksat |
|---|---|
GET /scim/v2/Users |
Üpjün edilen ulanyjylary sanamak / soramak. |
POST /scim/v2/Users |
Ulanyjy döretmek. |
GET /scim/v2/Users/{id} |
Bir ulanyjyny okamak. |
PUT /scim/v2/Users/{id} |
Ulanyjyny täzelemek. |
DELETE /scim/v2/Users/{id} |
Ulanyjynyň üpjün edilmegini ýatyrmak. |
SCIM arkaly üpjün etmek ulanyjy katalogyny siziň IdP-ňiz bilen sazlaşykda saklaýar, şeýdip işe girýänler we çykýanlar el bilen admin işi bolmazdan şöhlelenýär.
Ýerli auth
Daşarky IdP bolmadyk ýagdaýynda AiHummer ýerli autentifikasiýany goldaýar.
Täze maglumat bazasynda gateway ilkinji başlangyçda žurnala bir gezeklik
admin parolyny çap edýär; giriň we ony derrew üýtgediň. Ýerli auth kiçi ýa-da
üzňeleşdirilen ýerleşdirmeler üçin amatly, ýöne IdP-li guramalar üçin OIDC
maslahat berilýän önümçilik ýoly bolmagynda galýar.
Çemeleşmäni saýlamak
| Mehanizm | Iň gowy | Status |
|---|---|---|
| OIDC | Islendik ýerli däl ýerleşdirmede admin API-ni goramak | Maslahat berilýän önümçilik ýoly |
| SAML | SAML SSO boýunça standartlaşdyrylan kärhanalar | Amala aşyrylan; IdP-ňize garşy barlaň |
| LDAP / AD | Katalog esasly autentifikasiýa | Amala aşyrylan; kataloglyňyza garşy barlaň |
| SCIM | IdP-den awtomatiki ulanyjy üpjün etmek | Amala aşyrylan (SCIM v2 Users) |
| Ýerli auth | IdP-siz kiçi ýa-da üzňeleşdirilen ýerleşdirmeler | Içine gurlan |
Indiki nirä
- RBAC & çäklendirilen API açarlary — IdP-ňiziň autentifikasiýa edýän şahsyýetlerine ygtyýar beriň.
- Tor, audit & howadan üzňeleşdirilen — admin elýeterliligini tor boýunça derwezeläň we audit yzyny saklaň.
- Syrlar gaznasy — kepilnamalaryň we tokenleriň ýaşaýan ýeri.