Indeed Identity Provider

Модуль Indeed Identity Provider (ранее Indeed AM SAML IDP) используется для организации многофакторной аутентификации и сквозного доступа в веб-приложения. 

Модуль Indeed Identity Provider поддерживает следующие протоколы:

• OpenID Connect и OAuth 2.0
• SAML

Identity Provider избавляет пользователя от необходимости запоминать множество учетных данных: для доступа во все интегрированные системы требуется только один комплект учетных данных. Аутентификация выполняется централизованно на стороне Identity Provider. 

В Identity Provider вы можете выполнить аутентификацию по следующим аутентификаторам:

• мобильное приложение Indeed Key (в режиме отправки одноразовых паролей и push-уведомлений с подтверждением входа)
• Email OTP
• SMS OTP
• Storage SMS OTP
• Secured TOTP
• Software OTP
• Windows Password
• Passcode
• Hardware TOTP
• Hardware OTP

Установка Identity Provider

Системные требования

Установка Identity Provider выполняется через мастер конфигурации.

Настройка переменных окружения

Переменные окружения находятся в файле am/.env и заполняются при установке с помощью мастера конфигурации.

После установки Identity Provider необходимо отредактировать значение для переменной CUSTOM_SP_*. В ней задается адрес приложения (DNS-имя и порт, если явно указан), которое попадает в политику безопасности для доступа к ІDР (белый список).

Примеры:

• Если при подключении к приложению используется адрес https://provider.test.local:333/.., то значение переменной будет provider.test.local:333.
• *.test.local.

Если такие приложения отсутствуют, оставьте переменные с пустыми значениями.

При необходимости добавить более пяти сервисных провайдеров:

1. Добавьте дополнительные переменные в файл .env по аналогии с уже добавленными по умолчанию (CUSTOM_SP_6=, CUSTOM_SP_7=).

2. Добавьте переменные в файл identity-provider.docker-compose.yml в раздел idp:environment.

   Пример

   idp:
    environment:
   ...
   AMIDP_ContentSecurityPolicy__FormAction__From__7: "${CUSTOM_SP_6}"
   AMIDP_ContentSecurityPolicy__FormAction__From__8: "${CUSTOM_SP_7}"

Интеграция с бизнес-приложениями

Чтобы настроить интеграцию с бизнес-приложениями Identity Provider, перейдите в Management Console.

Описание конфигурационного файла

Важно

В этом разделе описаны параметры конфигурационного файла Identity Provider am/idp/app-settings.json. Не изменяйте значения без необходимости. Неправильная конфигурация может привести к неработоспособности компонента.

Параметр	Описание
AuthenticationMethods	Удалите ненужные строки и добавьте идентификаторы провайдеров, которые вы планируете использовать: Name — укажите произвольное уникальное значение. Providers — укажите идентификатор используемого провайдера. Доступные идентификаторы провайдеров SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} Storage SMS OTP {3F2C1156-B5AF-4643-BFCB-9816012F3F34} Email OTP {093F612B-727E-44E7-9C95-095F07CBB94B} Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529} Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2} Hardware OTP {AD3FBA95-AE99-4773-93A3-6530A29C7556} Hardware TOTP {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153} Пример использования одного провайдера "AuthenticationMethods": [ { "Name": "Passcode", "Providers": [ "F696F05D-5466-42b4-BF52-21BEE1CB9529" ] } ] Пример использования нескольких провайдеров "AuthenticationMethods": [ { "Name": "HOTP_Passcode", "Providers": [ "AD3FBA95-AE99-4773-93A3-6530A29C7556", "F696F05D-5466-42b4-BF52-21BEE1CB9529" ] } ] Примечание: Если вы одновременно используете аутентификацию по Windows Password и по провайдеру, журнал событий отображает следующее: Windows Password введён верно, провайдер — неверно: регистрируется успешный вход в Identity Provider с помощью Windows Password. Windows Password введён верно, провайдер — верно: регистрируется успешный вход с помощью провайдера.
Authentication: SessionExpiration	Срок жизни сессии. Если параметр не задан, используется значение по умолчанию — 30 минут ("00:30:00"). Пример "Authentication": { "SessionExpiration": "00:30:00" },
Authentication: Domains	Список доменов для аутентификации. Укажите значения необходимых доменов в строке Domains. Подробнее о параметре — в разделе Аутентификация по имени пользователя без указания домена.
Authentication: BruteForceProtection	Защита от перебора. В строке BruteForceProtection укажите значение Identity Provider. Подробнее о параметре — в разделе Включение защиты от перебора.

Перезапуск Identity Provider

После редактирования конфигурационного файла необходимо перезапустить контейнер с приложением с помощью команды sudo docker-compose up -d.

Проверка состояния сервера

Для проверки рабочего состояния сервера в контейнере Docker используйте метод Healthcheck:

http(s)://<dns_имя_сервера>/am/idp/healthcheck/isHealthy

На странице отображается следующая информация о состоянии модуля:

• статус компонента Indeed Identity Provider, время обработки запроса к нему;
• статус последнего запроса;
• статус компонента Indeed Log Server;
• список ошибок при наличии.

Пример результата проверки

{
  "Status": "Healthy",
  "Entries": {
    "CoreServer": {
      "PreviousCheckSucceeded": true,
      "CheckState": "Succeeded",
      "CheckStartDate": "2025-03-04T09:00:04.7856489+00:00",
      "CheckDuration": "00:00:00.0315420"
    },
    "LogServer": {
      "PreviousCheckSucceeded": true,
      "CheckState": "Succeeded",
      "CheckStartDate": "2025-03-04T09:00:04.7983677+00:00",
      "CheckDuration": "00:00:00.0178414"
    }
  }
}

Если Log Server не работает, то в параметре Status и в параметре CheckState для LogServer отображается значение Degraded (ухудшенное состояние). При этом запрос выполнен успешно (HTTP-код 200). При запуске команды docker ps возвращается статус состояния сервера Healthy.

Неработающий Log Server не влияет на работоспособность Management Console с некоторыми ограничениями — не доступно логирование в Log Server и просмотр страниц/частей страниц, которые связаны с отображением данных с Log Server.

Сбор логов

Информация по включению логирования и сбору логов компонента Identity Provider находится в разделе Сбор логов серверных компонентов.

Опциональные настройки

• Интеграция с приложениями по протоколам OpenID Connect и OAuth 2.0
• Интеграция с приложениями по протоколу SAML
• Включение защиты от перебора
• Аутентификация по имени пользователя без указания домена