Как настроить интеграцию с OneLogin
Если вы используете провайдер идентификации OneLogin, необходимо настроить интеграцию с ним. Для этого нужно выполнить ряд настроек как на стороне OneLogin, так и на стороне bpm’online.
Важно
В примере настройки использован адрес сайта bpm’online https://site01.bpmonline.com/ и “appid” как id приложения на OneLogin. При выполнении настройки замените эти значения на адрес вашего сайта и id соответствующего приложения на OneLogin.
Настройка на стороне OneLogin
1.Войдите в OneLogin под учетной записью администратора. Нажмите [Apps], выберите [Add Apps]. В строке поиска введите “bpm'online“ и выберите приложение bpm’online.
2.Если необходимо, измените значение в поле [Display name], измените иконки приложения или снимите признак [Visible in portal]. Эти настройки влияют на отображение сайта для пользователей на сайте OneLogin.
3.Нажмите [Save].
4.После сохранения перейдите на вкладку [Configuration] и в поле [bpmonline site] введите доменное имя вашего сайта, например, site01 (Рис. 1).
Рис. 1 — Страница конфигурации сайта
Настройка на стороне bpm’online
1.Укажите данные провайдера идентификации в saml.config. В параметре Name укажите FQDN вашего сайта, например https://site01.bpmonline.com/.
Важно
Значение параметра ServiceProvider Name должно быть идентично значению Audience, указанному на стороне провайдера идентификации. Таким образом выполняется проверка, что SAML Assertion выдан именно для вашего приложения. Для этого удобнее использовать FQDN вашего сайта.
2.В секции Partner Identity Provider укажите настройки со стороны провайдера идентификации. Эти настройки можно посмотреть в файле метаданных.
WantAssertionSigned=“false“ — если не будет использоваться сертификат шифрования при обмене SALM Assertion.
SingleSignOnServiceUrl — URL сервиса единого входа провайдера. Можно взять из строки SAML 2.0 Endpoint (HTTP) на странице trusted приложения.
SingleLogoutServiceUrl — URL сервиса единого входа провайдера. Можно взять из строки SLO Endpoint (HTTP) на странице trusted приложения.
Пример saml.config для тестового акаунта OneLogin:
<?xml version="1.0"?>
<SAMLConfiguration xmlns="urn:componentspace:SAML:2.0:configuration">
<ServiceProvider Name="https://site01.bpmonline.com/"
Description="Example bpm'online Service Provider"
AssertionConsumerServiceUrl="~/ServiceModel/AuthService.svc/SsoLogin"
/>
<PartnerIdentityProviders>
<!--OneLogin BPMOnline -->
<PartnerIdentityProvider Name="https://app.onelogin.com/saml/metadata/appid"
Description="OneLogin"
WantAssertionSigned="false"
SingleSignOnServiceUrl="https://ts-dev.onelogin.com/trust/saml2/http-post/sso/appid"
SingleLogoutServiceUrl="https://ts-dev.onelogin.com/trust/saml2/http-redirect/slo/appid"
PartnerCertificateFile="Certificates\onelogin.cer"/>
</PartnerIdentityProviders>
</SAMLConfiguration>
3.Внесите изменения в файл web.config в корневой папке сайта:
a.Включите использование SSO Auth-провайдеров при выполнении авторизации в bpm'online:
SsoAuthProvider — провайдер входа в основное приложение.
SSPSsoAuthProvider — провайдер входа на портал.
Указывать можно оба провайдера или только один, который нужен в конкретном случае.
<terrasoft>
<auth providerNames="InternalUserPassword,SSPUserPassword,SsoAuthProvider,SSPSsoAuthProvider" autoLoginProviderNames="" defLanguage="en-US" defWorkspaceName="Default" useIPRestriction="false" loginTimeout="30000">
<providers>
b.Укажите, какой из IdP, указанных в saml.config, нужно использовать. В web.config App Loader задайте параметр PartnerIdP значением из строки Issuer URL в saml.config, например: “https://app.onelogin.com/saml/metadata/appid“.
<appSettings> ... <add key="PartnerIdP" value="https://app.onelogin.com/saml/metadata/appid"/> ... </appSettings>
c.Установите использование SSO-провайдера по умолчанию при входе на сайт. Для этого укажите в web.config App Loader ресурс по умолчанию NuiLogin.aspx?use_sso=true.
На заметку
Для возможности входа с использованием логина/пароля остается доступной прямая ссылка https://site01.bpmonline.com/NuiLogin.aspx.
Для тестирования работы SSO до включения по умолчанию можно использовать ссылку https://site01.bpmonline.com/NuiLogin.aspx?use_sso=true.
Установите отправку к провайдеру идентификации при переходе в корень сайта:
<defaultDocument> <files> <add value="NuiLogin.aspx?use_sso=true" /> </files> </defaultDocument>
Установите отправку к провайдеру идентификации при отсутствии сессии пользователя:
<authentication mode="Forms">
<forms loginUrl="~/NuiLogin.aspx?use_sso=true" protection="All" timeout="60" name=".ASPXAUTH" path="/" requireSSL="false" slidingExpiration="true" defaultUrl="ViewPage.aspx?Id=4e342d5e-bd89-4b79-98e2-22e433122403" cookieless="UseDeviceProfile" enableCrossAppRedirects="true" />
</authentication>
4.Для включения Single Log Out укажите в web.config App (в папке Terrasoft.WebApp):
<add key="UseSlo" value="true" />
5.Для включения Just-In-Time User Provisioning укажите в web.config корневой папки сайта:
<add name="UseJit" value="true" />
6.Настройте сопоставление полей из SAML Assertion с колонками в bpm’online в справочнике [Преобразователь SAML атрибута в название поля контакта]. Это необходимо для корректного заполнения полей контакта при создании нового пользователя с помощью Just-In-Time User Provisioning. Если поле пусто или отсутствует в данных провайдера идентификации, оно может быть заполнено значением, указанным в поле [Значение по умолчанию] справочника. При следующем входе пользователя поля контакта, указанные в справочнике, будут заполнены значением, полученным из провайдера, или актуальным значением по умолчанию.
На заметку
Если справочника нет в списке справочников, его необходимо зарегистрировать.
7.Для использования технологии единого входа в мобильном приложении установите признак [Значение по умолчанию] в системной настройке [Использовать SSO в мобильном приложении].
Смотрите также
