SAML (Security Assertion Markup Language - язык разметки декларации безопасности) - это механизм, используемый для авторизации пользователей в двух и более веб-приложениях/веб-сайтах. Он может использоваться как метод единого входа в UseResponse.
Как это работает в UseResponse
UseResponse принимает роль поставщика услуг, который устанавливает соединение с поставщиком удостоверений (LDAP, Active Directory) вашей корпоративной сети. Вы можете использовать собственный SAML сервер или выбрать одного из поставщиков удостоверений (IdP), который поддерживает SAML, к примеру, таких как OneLogin, Okta, PingIdentity.
Как только пользователь авторизовался в вашем приложении, которое использует SAML, он будет автоматически зарегистрирован ва всех других приложениях (CRM, электронная почта, внутренняя система и пр.). Поэтому процесс аутентификации происходит вне UseResponse.
Каждый раз при добавлении нового пользователя в вашей системе учетная запись нового пользователя будет создана в UseResponse, при этом пароли в системе не будут сохранены, только имена и электронные адреса.
Независимо от того, какую форму входа вы будете использовать, пользователи будут зарегистрированы в вашей корпоративной сети (с помощью LDAP или Active Directory к примеру). Как только пользователь создан в вашей корпоративной сети, он будет автоматически добавлен в ваше сообщество посредством синхронизации данных.
Настройка SAML
Перейдите в Администрирование » Приложения и активируйте Единый вход. Затем нажмите Настройки и выберите SAML в списке.
Если вы планируете использовать систему только внутри вашей компании и внешние пользователи не должны получить доступ к ней, выберите опцию "Использовать только единый вход" и деактивируйте письма регистрации.
На странице настроек вам необходимо заполнить следующие данные для интеграции (SAML сервер или поставщик услуг):
- Assertion Consumer Service URL - SSO URL UseResponse, который служит как поставщик услуг в SAML;
- Single Logout Service URL - используется для выхода пользователя из системы UseResponse, как только он вышел из другого приложения.
Вам нужно заполнить 3 параметра для вашего IdP в настройках UseResponse:
- Внешняя ссылка логина - используется для перенаправления на внешнюю форму входа, где пользователь авторизован;
- Внешняя ссылка логаута - используется для выхода пользователя из всех веб-приложений, как только пользователь вышел из системы UseResponse;
- Certificate Fingerprint - SHA1 SAML сертификат, который должен быть принят вашим IdP.
Вы можете передать другие переменные, которые система будет распознавать, такие как User ID, Email, First Name, Last Name.
Любому пользователю, который входит в систему UseResponse, будет назначена команда "Пользователь".