Перейти к основному содержимому
Версия: Privileged Access Manager 3.4

Протокол OpenID Connect

OpenID Connect (OIDC) — протокол аутентификации, разработанный на основе OAuth 2.0. Протокол позволяет приложениям проверять идентичность пользователя и получать информацию о нем от провайдера идентификации (Identity Provider).

При первой аутентификации по протоколу OIDC сравнивается адрес электронной почты пользователя PAM с адресом почты (email) в Identity Provider. Если адреса совпадают, пользователь входит в консоль Indeed PAM. Для каждого пользователя сохраняется уникальный идентификатор (sub), который используется при повторной аутентификации для сопоставления пользователя PAM с учетной записью Identity Provider.

Чтобы добавить вход в консоль Indeed PAM через Identity Provider:

  1. Укажите адреса электронной почты для пользователей в Indeed PAM.
    Убедитесь, что адреса электронной почты в PAM и Identity Provider совпадают.
  2. Настройте конфигурацию для входа через Identity Provider.
Примечание

Прокси-компоненты не поддерживают аутентификацию по протоколу OpenID Connect.
Чтобы получить доступ к ресурсам, включите опции Открытие сессий без повторной аутентификации и/или Аутентификация по SSH-ключам.

Настройка конфигурации

Чтобы добавить аутентификацию через внешний Identity Provider:

  1. В консоли администратора перейдите в раздел КонфигурацияАутентификация пользователей.
  2. Включите опцию Включить аутентификацию через OIDC Identity Provider.
  3. В поле Название кнопки входа введите название кнопки аутентификации через Identity Provider.
    Кнопка отображается на странице входа в консоли Indeed PAM.
  4. В поле Redirect URI укажите DNS-имя сервера Indeed PAM.
    Пример: pam.my-company.local.
  5. Скопируйте значение Redirect URI и укажите его при регистрации PAM в настройках Identity Provider.
    На указанный адрес Identity Provider перенаправляет пользователя после аутентификации.
  6. В поле OIDC Provider URL укажите адрес OIDC-сервера из настроек Identity Provider.
    Пример: https://idp.company.ru.
  7. Выберите сценарий OIDC-аутентификации:
    • Authorization Code Flow — пользователь перенаправляется на сервер авторизации и получает код, который обменивается на токен доступа.
    • Authorization Code Flow + PKCE (по умолчанию) — рекомендуемый сценарий, в котором используется расширение Proof Key for Code Exchange (PKCE). Для каждого запроса авторизации генерируется дополнительный секрет, который проверяется при обмене кода на токен доступа.
    • Implicit Flow — сервер авторизации возвращает токен доступа в URL-адресе после аутентификации пользователя. Не рекомендуется использовать этот сценарий из-за риска перехвата токенов.
  8. В поле Client ID укажите идентификатор клиента, созданного при регистрации PAM в Identity Provider.
  9. Напротив поля Client Secret нажмите  edit.svg  и введите секрет клиента, выданный при регистрации PAM в Identity Provider. Обязательно заполните поле, если выбран сценарий Authorization Code Flow.
  10. (Опционально) Раскройте дополнительные настройки и заполните поля:
    • Claim — имя OIDC-атрибута, из которого PAM получает адрес электронной почты пользователя для сопоставления с учетной записью Identity Provider. По умолчанию используется email.
    • Scope — имя OIDC-области, используемой в запросе к OIDC-провайдеру для получения значения claim с адресом электронной почты пользователя. По умолчанию используется email.
  11. Нажмите Сохранить.

После настройки конфигурации на странице входа в консоль Indeed PAM доступна аутентификация через внешний Identity Provider.

Вход в консоль

Примечание

Аутентификация через внешний Identity Provider — дополнительный способ входа.
Вход по логину и паролю сохраняется.

  1. Откройте консоль пользователя или администратора.
  2. Перейдите к аутентификации через внешний Identity Provider.
    При неудачной попытке входа свяжитесь с администратором PAM.

Обновление данных пользователя

Если у пользователя в Identity Provider изменился адрес электронной почты (email) или идентификатор (sub), обновите данные пользователя PAM.

Чтобы обновить данные:

  1. В консоли администратора перейдите в раздел Пользователи
  2. Откройте профиль пользователя.
  3. Напротив поля Email нажмите  edit.svg  и укажите новый адрес электронной почты.
    Если пользователь из службы каталога, измените адрес электронной почты в каталоге.
  4. Нажмите Сохранить.
  5. Перейдите на вкладку Аутентификаторы.
  6. Напротив поля Идентификатор (sub) нажмите trash.svg.
  7. В окне подтверждения нажмите Удалить.

При повторной аутентификации через OIDC новое значение идентификатора автоматически сохранится в PAM.