Перейти к основному содержимому
Версия: Privileged Access Manager 3.4

Протокол OpenID Connect

OpenID Connect (OIDC) — протокол аутентификации, разработанный на основе OAuth 2.0. Протокол позволяет приложениям проверять личность пользователей и получать информацию о них от провайдера идентификации (Identity Provider).

При первой аутентификации по протоколу OIDC сравнивается адрес электронной почты пользователя PAM с адресом почты (email) в Identity Provider. Если адреса совпадают, пользователь входит в консоль Indeed PAM. Для каждого пользователя сохраняется уникальный идентификатор (sub), который используется при повторной аутентификации для сопоставления пользователя PAM с учетной записью Identity Provider.

Чтобы добавить вход в консоль Indeed PAM через Identity Provider:

  1. Укажите адреса электронной почты для пользователей в Indeed PAM.
    Убедитесь, что адреса электронной почты в PAM и Identity Provider совпадают.
  2. Настройте конфигурацию для входа через Identity Provider.
Примечание

Прокси-компоненты не поддерживают аутентификацию по протоколу OpenID Connect.
Чтобы получить доступ к ресурсам, включите опции Открытие сессий без повторной аутентификации и/или Аутентификация по SSH-ключам.

Настройка конфигурации

Чтобы добавить аутентификацию через внешний Identity Provider:

  1. В консоли администратора перейдите в раздел КонфигурацияАутентификация пользователей.
  2. Включите опцию Включить аутентификацию через OIDC Identity Provider.
  3. В поле Название кнопки входа введите название кнопки аутентификации через Identity Provider.
    Кнопка отображается на странице входа в консоли Indeed PAM.
  4. В поле Redirect URI укажите DNS-имя сервера Indeed PAM.
    Пример: pam.my-company.local.
  5. Скопируйте значение Redirect URI и укажите его при регистрации PAM в настройках Identity Provider.
    На указанный адрес Identity Provider перенаправляет пользователя после аутентификации.
  6. В поле OIDC Provider URL укажите адрес OIDC-провайдера из настроек Identity Provider.
    Пример: https://idp.company.ru.
  7. Выберите сценарий OIDC-аутентификации:
    • Authorization Code Flow — пользователь перенаправляется на сервер авторизации и получает код, который автоматически обменивается на токен доступа.
    • Authorization Code Flow + PKCE (по умолчанию) — рекомендуемый сценарий, в котором используется расширение Proof Key for Code Exchange (PKCE). Для каждого запроса авторизации генерируется дополнительный секрет, который проверяется при обмене кода на токен доступа.
    • Implicit Flow — сервер авторизации возвращает токен доступа в URL-адресе после аутентификации пользователя. Не рекомендуется использовать этот сценарий из-за риска перехвата токенов.
  8. В поле Client ID укажите идентификатор клиента, созданного при регистрации PAM в Identity Provider.
  9. Напротив поля Client Secret нажмите  edit.svg  и введите секрет клиента, выданный при регистрации PAM в Identity Provider. Обязательно заполните поле, если выбран сценарий Authorization Code Flow.
  10. (Опционально) Раскройте дополнительные настройки и заполните поля:
    • Claim — имя OIDC-атрибута, из которого PAM получает адрес электронной почты пользователя для сопоставления с учетной записью Identity Provider. По умолчанию используется email.
    • Scope — имя OIDC-области, используемой в запросе к OIDC-провайдеру для получения значения claim с адресом электронной почты пользователя. По умолчанию используется email.
  11. Нажмите Сохранить.

После настройки конфигурации на странице входа в консоль Indeed PAM доступна аутентификация через внешний Identity Provider.

Вход в консоль

Примечание

Аутентификация через внешний Identity Provider — дополнительный способ входа.
Вход по логину и паролю сохраняется.

  1. Откройте консоль пользователя или администратора.
  2. Перейдите к аутентификации через внешний Identity Provider.
    При неудачной попытке входа свяжитесь с администратором PAM.

Обновление данных пользователя

Если у пользователя в Identity Provider изменились данные, обновите сведения в PAM.

Чтобы обновить электронную почту (email):

  1. В консоли администратора перейдите в раздел Пользователи и откройте профиль пользователя.

  2. Напротив поля Email нажмите  edit.svg  и укажите новый адрес электронной почты.

    Примечание

    Если пользователь из службы каталога, измените адрес электронной почты в каталоге — данные в Indeed PAM обновятся автоматически.

  3. Нажмите Сохранить.

Чтобы обновить значение идентификатора (sub):

  1. В консоли администратора перейдите в раздел Пользователи и откройте профиль пользователя.
  2. Перейдите на вкладку Аутентификаторы.
  3. Напротив поля Идентификатор (sub) нажмите trash.svg.
  4. В окне подтверждения нажмите Удалить.

При повторной аутентификации через OIDC новое значение идентификатора автоматически сохранится в PAM.