Uwierzytelnianie
Strona Uwierzytelnianie umożliwia konfigurację mechanizmów uwierzytelniania dla użytkowników logujących się do systemu ADONIS. Mechanizmy te mogą być używane pojedynczo lub w połączeniu. Można również skonfigurować ustawienia uwierzytelniania dostępu do REST API systemu ADONIS.
Strona Uwierzytelnianie składa się z 5 podstron:
Konektory: Skonfiguruj konektory, z których każdy reprezentuje mechanizm uwierzytelniania w systemie ADONIS.
LDAP: Dodawanie domen LDAP i ogólnych ustawień LDAP oraz zarządzanie nimi w systemie ADONIS.
SAML: Modyfikowanie globalnych parametrów konfiguracyjnych konektorów SAML.
JWT: Tworzenie konfiguracji JWT w celu uzyskania dostępu do REST API systemu ADONIS.
OAuth 2.0: Edytowanie ustawień OAuth 2.0 dotyczących uzyskiwania dostępu do REST API systemu ADONIS .
Dodatkowo, więcej narzędzi można znaleźć pod przyciskiem Więcej opcji gdzie możliwe jest skonfigurowanie ostrzeżeń licencyjnych, ustawień bezpieczeństwa i ogólnych ustawień uwierzytelniania.
Konektory
Strona Konektory pozwala na tworzenie, edytowanie i usuwanie konektorów. Konektory reprezentują mechanizmy uwierzytelniania w systemie ADONIS. Każdy konektor może być używany indywidualnie lub w połączeniu z innymi i może być skonfigurowany do sparowania z usługą LDAP, w celu pobierania dodatkowych danych użytkownika z usług katalogowych.
Przeglądanie konektorów
Po otwarciu strony Konektory, zostanie wyświetlona lista wszystkich konektorów oraz ich szczegóły. Wyświetlane są następujące informacje:
Pierwszeństwo: Kolejność, w jakiej konektory są używane podczas żądania uwierzytelnienia. Jeśli użytkownik zaloguje się bez określonego konektora lub typu, system ADONIS użyje pierwszego odpowiedniego konektora z listy, chyba że zostaną zdefiniowane określone ograniczenia.
Nazwa: Nazwa konektora.
Typ: Typ konektora.
Konektor włączony: Wskazuje, czy konektor jest włączony, czy wyłączony.
Parowanie z LDAP: Wskazuje, czy dla tego konektora skonfigurowano parowanie z LDAP.
Ograniczenia IP: Wskazuje, czy dla tego konektora skonfigurowano ograniczenia adresów IP.
Typy konektorów
Dostępne są następujące typy konektorów w systemie ADONIS:
STANDARD: Wyświetla standardową stronę logowania, na której użytkownicy mogą wprowadzić swoją nazwę użytkownika i hasło. Obsługuje dwa mechanizmy uwierzytelniania
Standardowi użytkownicy systemu ADONIS: Jeśli parowanie LDAP nie jest skonfigurowane, podane poświadczenia uwierzytelniają użytkownika w bazie danych.
Uwierzytelnianie LDAP: Jeśli parowanie LDAP jest skonfigurowane, dostarczone poświadczenia uwierzytelniają użytkownika w skonfigurowanej usłudze katalogowej.
IDM: Obsługuje uwierzytelnianie IDM, umożliwiając użytkownikom logowanie się za pomocą metody single sign-on lub za pomocą nazwy użytkownika i hasła.
SAML: Obsługuje uwierzytelnianie SAML, umożliwiając logowanie metodą single sign-on lub logowanie za pomocą poświadczeń (nazwa użytkownika, hasło, certyfikaty itp.).
OIDC: Obsługuje uwierzytelnianie OIDC, dając możliwość logowania metodą single sign-on.
Dodawanie i konfigurowanie konektora
Aby utworzyć nowy konektor:
Przejdź do Autentykacja > Konektory, a następnie kliknij Utwórz.
W polu ID wprowadź unikatową nazwę konektora.
Z listy Wybierz typ wybierz typ konektora.
Kliknij Utwórz.
Po utworzeniu konektora możesz od razu rozpocząć pracę nad konfiguracją. Wykonaj te cztery kroki:
Te kroki zostały omówione bardziej szczegółowo w poniższych sekcjach.
Właściwości
Pierwsza strona konfiguracji konektora umożliwia zdefiniowanie różnych ustawień w zależności od wybranego typu konektora.
STANDARD
Dla konektorów typu STANDARD dostępne są następujące ustawienia:
- Reset hasła: Włączenie lub wyłączenie samodzielnego resetowania hasła i skonfigurowanie czasu ważności łącza resetowania hasła (więcej informacji w sekcji Konfiguracja samodzielnego resetowania hasła).
SAML
Dla konektorów SAML, dostępne są następujące ustawienia:
Właściwości IDP
Nazwa IDP: Nazwa dostawcy tożsamości (IdP). Możesz wybrać dowolną nazwę. Nazwa ta będzie wyświetlana w systemie ADONIS i w logach.
Typ powiązania: Określa typ powiązania dla komunikacji z IdP. Domyślnie jest to „post”, co oznacza, że komunikacja odbywa się poprzez przesłanie formularza HTML przy użyciu metody POST. Jeśli ustawione na „redirect”, klient skontaktuje się z IdP za pośrednictwem wywołania przekierowania, chociaż może to nie być dozwolone w określonych zasadach.
Adres IDP : Określa adres URL IdP do wysyłania żądań uwierzytelnienia.
Odszyfrowanie potwierdzenia: Kontroluje, czy szyfrowanie potwierdzenia jest włączone dla tego określonego łącznika. Dostępne opcje to: "Włączone", "Wyłączone", lub "Nie ustawiono".
Jeśli została wybrana opcja ,,Nie ustawiono'', zostaną zastosowane ustawienia szyfrowania potwierdzeń globalnych z konfiguracji SAML.
Jeśli została wybrana opcja ,,Wyłączone'', odszyfrowywanie/szyfrowanie potwierdzeń będzie wyłączone dla tego konektora, niezależnie od globalnych ustawień SAML.
Jeśli została wybrana opcja ,,Włączone'', szyfrowanie potwierdzeń będzie wymagane dla tego konektora, ale zależy to również od globalnych ustawień SAML, które muszą mieć włączone i poprawnie skonfigurowane szyfrowanie potwierdzeń.
Domyślnie ustawienie to ma wartość „Nie ustawiono”, co oznacza, że globalne ustawienia szyfrowania potwierdzeń SAML określą, czy szyfrowanie jest stosowane dla tego konektora.
Zakończenie sesji IDP po zakończeniu sesji dostawcy usług: Określa, czy wylogowanie z systemu ADONIS powinno również powodować wylogowanie z IdP. Domyślnie ta opcja jest wyłączona
plik klucza publicznego IDP: Kliknij Przeglądaj, aby przesłać certyfikat podpisywania tokenu z IdP. To pole może być wstępnie wypełnione, jeśli wcześniej odwołałeś się do adresu URL metadanych IdP w systemie ADONIS (patrz Konfiguracja IdP w sekcji Dostosowywanie konektorów).
Oświadczenia: Określa oświadczenia, które powinien dostarczać IdP. Oświadczenia są używane do przesyłania informacji o użytkowniku (np. adres e-mail, imię i nazwisko).
IDM
W przypadku konektorów typu IDM dostępne są następujące ustawienia:
Lokalizacja użytkownika zdalnego: Określa sposób identyfikacji użytkownika zdalnego w scenariuszu IDM. Dostępne opcje to: "metoda", "nagłówek" lub "basic_auth".
W przypadku wybrania opcji "metoda" użytkownik zdalny jest określany za pomocą metody żądania serwletu
getRemoteUser
.W przypadku wybrania opcji "nagłówek" użytkownik zdalny jest wyodrębniany z nagłówka żądania. Należy określić nagłówek w polu Nazwa nagłówla, który zawiera nazwę zdalnego użytkownika.
W przypadku wybrania opcji "basic_auth" użytkownik zdalny jest pobierany z nagłówka
Autoryzacja
żądania.
Opcjonalnie możesz dołączyć instrukcje przetwarzania do obsługi lub modyfikowania wartości nazwy użytkownika w czasie wykonywania.
Nazwa nagłówka zawierającego nazwę użytkownika zdalnego: Wymagane jeśli lokalizacja użytkownika zdalnego jest ustawiona na ,,nagłówek''. To pole definiuje nazwę nagłówka, w którym znajduje się nazwa użytkownika zdalnego.
Przytnij rozszerzenie domeny zdalnej nazwy użytkownika: Określa, czy usunąć rozszerzenie domeny (np. „\@domena”) ze zdalnej nazwy użytkownika. Po włączeniu (ustawienie domyślne) nazwa użytkownika taka jak „user\@domain” zostanie skrócona do „user”.
Wyrażenie regularne zastępujące ciągi znaków w nazwie użytkownika innym ciągiem znaków: Umożliwia zdefiniowanie reguły modyfikującej nazwę użytkownika poprzez zastąpienie określonych ciągów znaków. Reguła musi być podana jako wyrażenie regularne.
Zastępuje sekcje nazwy użytkownika znalezione w polu wyrażenia regularnego: Określa ciąg znaków, który zastąpi sekcje nazwy użytkownika zidentyfikowane za pomocą pola Wyrażenie regularne zastępujące ciągi znaków w nazwie użytkownika innym ciągiem znaków.
OIDC
W przypadku konektorów OIDC dostępne są następujące ustawienia:
Serwer autoryzacji
Punkt końcowy autoryzacji: punkt końcowy autoryzacji w OP.
Punkt końcowy tokenu: punkt końcowy tokenu w OP.
Wystawca: identyfikator wystawcy OP.
Client ID: Publiczny identyfikator dla systemu ADONIS zarejestrowany w OP.
Client secret: Tajne hasło do systemu ADONIS zarejestrowane w OP.
Zapamiętaj użytkownika: Włącz tę opcję, aby zapisać ostatnio używany identyfikator użytkownika i przekazać go do przyszłych procesów uwierzytelniania, dzięki czemu to konto użytkownika zostanie automatycznie wybrane (może być przydatne podczas obsługi wielu kont użytkowników.
Oświadczenia: Definiuje oświadczenia, które OP powinien dostarczyć. Oświadczenia są używane do przesyłania informacji o użytkowniku (np. adres e-mail, imię i nazwisko).
Zakresy: Definiuje zakresy używane podczas procesu uwierzytelniania w celu autoryzacji dostępu do określonych danych użytkownika. Każdy zakres zwraca zestaw atrybutów, które są reprezentowane jako oświadczenia.
Konfiguracja samodzielnego resetowania haseł
Samodzielne resetowanie hasła umożliwia użytkownikom systemu ADONIS resetowanie własnych haseł bez konieczności kontaktowania się z administratorem ADONIS za każdym razem. Mogą po prostu kliknąć link „Nie pamiętasz hasła?” na stronie logowania, a następnie otrzymają wiadomość e-mail z linkiem do zresetowania hasła.
Dostępność
Ta funkcja jest dostępna, jeśli skonfigurowany jest komponent poczty i używany jest konektor STANDARD (= standardowa strona logowania, na której użytkownik może wprowadzić swoją nazwę użytkownika i hasło).
Szczegółowe informacje na temat konfiguracji komponentu poczty można znaleźć w sekcji Poczta e-mail.
Następujący użytkownicy NIE MOGĄ samodzielnie resetować swojego hasła:
Administratorzy systemu ADONIS (użytkownicy z uprawnieniami administratora globalnego)
Użytkownicy techniczni
Użytkownicy z zewnętrznego systemu zarządzania użytkownikami
Użytkownicy bez adresu e-mail
Konfiguracja
W ADONIS Administration można włączyć lub wyłączyć samodzielne resetowanie hasła oraz skonfigurować czas ważności linku resetowania hasła.
Aby skonfigurować właściwości resetowania hasła:
Przejdź do Autentykacja > Konektory.
Edytuj odpowiedni konektor STANDARD, na przykład Logowanie standardowe. Na stronie Właściwości w obszarze Resetowanie hasła dostosuj następujące ustawienia:
Włączone: Zaznacz lub wyczyść tę opcję, aby włączyć lub wyłączyć resetowanie hasła w systemie ADONIS.
Wygaśnięcie resetowania hasła w minutach: określ, jak długo link resetowania hasła jest ważny w minutach (na przykład 30 minut)
Kliknij OK, a następnie kliknij Zapisz.
Ograniczenia
Druga strona konfiguracji konektora umożliwia definiowanie ograniczeń. Dostępne są następujące opcje:
Ograniczenia: Użyj tej opcji, aby ograniczyć dostęp do konektora, zezwalając na żądania lub blokując je na podstawie adresu IP klienta. Można zdefiniować reguły, które zezwalają na dostęp lub go odmawiają w zależności od tego, czy adres IP klienta jest zgodny z określonym wzorcem. Zachowanie jest determinowane przez zastosowaną logikę - albo "białą listę" (zezwól na dostęp), albo "czarną listę" (odmów dostępu). Dla każdego ograniczenia można wybrać jeden z dwóch trybów:
Dopasuj: Stosuje regułę, jeśli adres IP klienta jest dokładnie zgodny z określonym wzorcem.
Podsieć: Stosuje regułę, jeśli adres IP klienta mieści się w zdefiniowanym zakresie podsieci.
Parowanie LDAP
Trzecia strona konfiguracji konektora umożliwia skonfigurowanie parowania LDAP dla dowolnego konektora. Ta funkcja umożliwia pobieranie dodatkowych danych użytkownika z usługi katalogowej. W przypadku konektorów typu STANDARD parowanie LDAP ułatwia również uwierzytelnianie użytkownika względem skonfigurowanej usługi katalogowej. Dostępne są następujące opcje:
Włączanie/wyłączanie parowania LDAP
- Włączone: Włącz lub wyłącz parowanie LDAP dla tego konektora. Należy pamiętać, że parowanie LDAP będzie działać tylko wtedy, gdy mechanizm LDAP zostanie aktywowany w ustawieniach ogólnych LDAP.
Domeny LDAP: opcjonalnie wybierz co najmniej jedną domenę, która ma być używana do uwierzytelniania i pobierania danych użytkownika. Do wyboru będą dostępne tylko domeny skonfigurowane wcześniej na stronie LDAP. Jeśli nie określono żadnej domeny, ADONIS będzie próbował sekwencyjnie sprawdzać wszystkie domeny z globalnych ustawień LDAP, aż do pomyślnego uwierzytelnienia.
Właściwości: Opcjonalnie zdefiniuj dodatkowe właściwości LDAP specyficzne dla tego konektora. Te właściwości będą używane razem z właściwościami ustawionymi w ustawieniach ogólnych LDAP.
Mapowanie użytkowników
Czwarta strona konfiguracji konektora umożliwia zdefiniowanie dla każdego konektora sposobu przetwarzania właściwości pobranych z zewnętrznego systemu zarządzania użytkownikami w celu przypisania ról systemowych, grup użytkowników, repozytoriów i innych.
Tylko właściwości zdefiniowane wcześniej w systemie ADONIS można wybrać. Na przykład właściwości konektorów SAML są definiowane w obszarze Oświadczenia na stronie Właściwości. Jeśli ma być używane parowanie LDAP, podstawowy zestaw atrybutów do pobrania można zdefiniować w ustawieniach ogólnych LDAP, natomiast dodatkowe właściwości LDAP specyficzne dla konektora można zdefiniować bezpośrednio na stronie parowanie LDAP.
Dostępne są następujące opcje:
Właściwości: Przypisywanie atrybutów użytkownika w systemie ADONIS w oparciu o właściwości zewnętrzne. Każde przypisanie jest konfigurowane z następującymi parametrami:
Właściwość: wybierz właściwość zewnętrzną, która ma być mapowana na atrybut użytkownika.
Atrybut: odpowiadający mu atrybut w systemie ADONIS (np. "Imię" lub "Adres e-mail").
Instrukcja przetwarzania: Opcjonalnie można dołączyć instrukcje przetwarzania do obsługi lub modyfikowania wartości w czasie wykonywania.
Przykład
Właściwość: givenName, Atrybut: Imię
Wartość właściwości LDAP "givenName" jest przypisana do atrybutu "Imię" w ADONIS.
Role: Przypisywanie ról systemowych na podstawie właściwości zewnętrznych.
Role domyślne: Definiowanie domyślnych ról systemowych dla użytkowników, jeśli nie mają zastosowania żadne inne przypisania ról.
Role: Konfiguracja niestandardowych przypisań ról przy użyciu:
Właściwość: Wybór właściwości służąca do przypisywania roli systemowej.
Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).
Dopasuj: Definiowanie wartości do dopasowania.
Nazwa docelowa: Wybór roli systemowej systemu ADONIS do przypisania.
Grupy: Przypisywanie grup użytkowników na podstawie właściwości zewnętrznych.
Grupy domyślne: Definiowanie domyślnych grup użytkowników dla użytkowników, jeśli nie mają zastosowania żadne inne przypisania grup.
Grupy: Konfiguracja niestandardowych przypisań grup przy użyciu:
Właściwość: Wybór właściwości służąca do przypisywania grupy użytkowników.
Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).
Dopasuj: Definiowanie wartości do dopasowania.
Nazwa docelowa: Wybór grupy użytkowników systemu ADONIS do przypisania.
Repozytorium: Przypisywanie repozytoriów na podstawie właściwości zewnętrznych za pomocą:
Właściwość: Wybierz właściwość służącą do przypisywania repozytorium.
Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).
Dopasuj: Definiowanie wartości do dopasowania.
Nazwa docelowa: wybierz repozytorium w systemie ADONIS które powinno być przypisane do użytkowników jako ich miejsce pracy. Jednocześnie użytkownicy będą udostępniani jako obiekty w modelowaniu. Wybierz jako cel „Wszystkie repozytoria” lub konkretne repozytorium. Można również określić grupę obiektów dla każdego repozytorium, w której powinny znajdować się przypisane obiekty użytkowników.
Użytkownik nazwany: Przypisywanie użytkowników do scenariuszy nazwanych.
Scenariusze domyślne: Definiowanie scenariuszy, do których użytkownicy powinni mieć domyślnie nazwany dostęp do użycia, jeśli nie mają zastosowania żadne inne przypisania scenariuszy.
Scenariusze: Konfigurowanie niestandardowych przypisań scenariuszy przy użyciu:
Właściwość: Wybór właściwości, która ma zostać przypisana do scenariusza.
Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).
Dopasuj: Definiowanie wartości do dopasowania.
Nazwa docelowa: Wybierz scenariusz systemu ADONIS który powinnien być przypisany.
Zamapowana obsługa użytkowników: Może służyć do określania przypadków, w których już uwierzytelnieni użytkownicy powinni być mapowani na (= traktowanych jako) aliasy użytkowników. Ci użytkownicy będą reprezentować uwierzytelnionego użytkownika podczas logowania do systemu ADONIS. Przykładem może być mapowanie określonej grupy użytkowników na użytkownika z dostępem do portalu organizacji.
Domyślny zmapowany użytkownik: Zdefiniowanie domyślnego użytkownika, do którego użytkownicy powinni być przypisywani, jeśli nie ma zastosowania żadne inne mapowanie (tylko nowi użytkownicy).
Zamapowani użytkownicy: Konfiguracja niestandardowych przypisań użytkowników przy użyciu:
Właściwość: Wybór właściwość, do której ma zostać przypisany alias użytkownika.
Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).
Dopasuj: Definiowanie wartości do dopasowania.
Mapowanie istniejących użytkowników: Opcjonalne określenie sposobu obsługi istniejących użytkowników. Gdy ta opcja jest włączona, uwierzytelniony użytkownik będzie zawsze traktowany jako alias, jeśli zostaną spełnione kryteria mapowania. Jeśli ta opcja jest wyłączona, mapowanie dotyczy tylko nowych użytkowników, którzy nie istnieją jeszcze w bazie danych ADONIS i nie mogą być automatycznie tworzeni.
Nazwa docelowa: Wybór aliasu użytkownika w systemie ADONIS który powinnien być przypisany.
Synchronizuj użytkowników: Kontrola nad tworzeniem i synchronizacją użytkowników:
Utwórz użytkownika automatycznie: Określa, czy użytkownicy logujący się do systemu ADONIS po raz pierwszy będą tworzeni „w locie” w bazie danych systemu ADONIS.
Synchronizuj automatycznie: Określa, czy dane użytkownika mają być aktualizowane zgodnie z informacjami pobranymi z usługi katalogowej za każdym razem, gdy użytkownik się loguje i/lub za każdym razem, gdy wykonywane jest zadanie okresowej synchronizacji. Ręczne zmiany wprowadzone dla użytkownika przez administratora systemu ADONIS są w tym przypadku nadpisywane.
To, jakie dane użytkownika są synchronizowane, można zdefiniować we właściwościach podrzędnych tego parametru:
Synchronizuj atrybuty: Określa, czy przypisanie atrybutów użytkownika ma być aktualizowane przy każdej synchronizacji danych użytkownika.
Synchronizuj role: Określa, czy przypisanie ról systemowych ma być aktualizowane przy każdej synchronizacji danych użytkownika.
Synchronizuj grupy: Określa, czy przypisanie grup użytkowników ma być aktualizowane przy każdej synchronizacji danych użytkowników.
Synchronizuj repozytoria: Określa, czy przypisanie repozytoriów ma być aktualizowane przy każdej synchronizacji danych użytkownika.
SSynchronizuj użycie nazwane: Określa, czy przypisanie dostępu nazwanego użycia do scenariuszy powinno być aktualizowane przy każdej synchronizacji danych użytkownika.
Obsługa usuwania: Określa, co należy zrobić z użytkownikami, którzy nie zostali znalezieni podczas synchronizacji.
Usuń nie znalezionych użytkowników: Określa, czy użytkownicy, którzy nie zostali znalezieni podczas synchronizacji, powinni zostać usunięci.
Przenieś użytkowników, których nie można usunąć do grupy: Określa, czy użytkownicy, których nie można usunąć podczas synchronizacji, powinni zostać przeniesieni do określonej grupy użytkowników. Jeśli opcja ta jest włączona, należy wybrać określoną grupę, do której mają zostać przeniesieni użytkownicy, których nie można usunąć.
Którzy użytkownicy są nieusuwalni?
Użytkownicy, którzy są zalogowani.
Użytkownicy, którzy zostali udostępnieni repozytorium (= aby udostępnić ich jako obiekty w modelowaniu), gdy są używani w modelu lub mają przychodzące odniesienia,
Możliwe metody dopasowywania wartości
Podczas definiowania mapowania użytkownika dla łącznika możliwe metody dopasowywania wartości obejmują (parametr Typ ):
equals: Wartości muszą się dokładnie zgadzać.
equalsIgnoreCase: Wartości muszą się dokładnie zgadzać, ale wielkość liter jest ignorowana..
contains: Wartość docelowa musi zawierać określone dopasowanie jako substring.
containsWord: Wartość docelowa musi zawierać dokładnie to słowo (jako całość), które jest dopasowywane.
containsWordIgnoreCase: To samo co containsWord, ale wielkość liter jest ignorowana.
regExp: Dopasowanie odbywa się za pomocą wyrażenia regularnego (system dopasowywania oparty na wzorcach).
indicator: Dopasowanie odbywa się na podstawie wskaźników (tylko dla konektorów IDM)
Modyfikacja konektorów
Konektory można zmieniać, usuwać i nie tylko:
Przejdź do Autentykacja > Konektory.
Wyszukaj konektor, który chcesz zmodyfikować.
Następnie wybierz jedną z następujących akcji:
Edycja konektora: Najedź kursorem na konektor, kliknij
Więcej, a następnie wybierz Edytuj. Teraz możesz skonfigurować konektor.
Zmiana nazwy lub usunięcie konektora: Najedź kursorem na konektor, kliknij
Więcej, a następnie wybierz pozycję Zmień nazwę lub Usuń.
Zwiększanie lub zmniejszanie pierwszeństwa: Jeśli włączonych jest wiele konektorów, można dostosować kolejność, w jakiej powinny być one sprawdzane w celu obsługi żądania uwierzytelnienia. Użyj uchwytu przeciągania (
), aby przeciągnąć konektor do nowej pozycji. Możesz też najechać kursorem na łącznik, kliknąć
Więcej, a następnie wybrać opcję Zwiększ pierwszeństwo lub Zmniejsz pierwszeństwo.
Włączanie lub wyłączanie konektora: Najedź kursorem na konektor, kliknij
Więcej, a następnie wybierz Włącz konektor lub Wyłącz konektor. Ta opcja jest przydatna, jeśli chcesz tymczasowo wyłączyć konektor zamiast trwale go usuwać.
Konfiguracja IdP: Dostępne tylko dla konektorów SAML. Najedź kursorem na konektor, kliknij
Więcej, a następnie wybierz pozycję Konfiguruj IdP. Ta opcja umożliwia przesłanie pliku XML metadanych lub podanie adresu URL metadanych. Metadane zawierają wszystkie informacje niezbędne do korzystania przez system ADONIS z tokenów wydanych przez IdP. Po przesłaniu automatycznie wypełniane są następujące właściwości konektora SAML: Typ powiązania, adres IDP i klucz publiczny IDP.
LDAP
Strona LDAP umożliwia konfigurację ogólnych ustawień LDAP i parametrów specyficznych dla domeny. Składa się ona z dwóch paneli:
Domeny LDAP: Okienko po lewej stronie LDAP umożliwia dodawanie domen używanych do uwierzytelniania i pobierania danych użytkownika oraz zarządzanie nimi. W tym miejscu znajduje się lista wszystkich skonfigurowanych domen.
Ustawienia LDAP: W prawym okienku strony LDAP można ustawić ogólne parametry, które mają zastosowanie do wszystkich domen.
Dodawanie domeny
Aby dodać nową domenę w ADONIS Administration:
Przejdź do Autentykacja > LDAP.
W lewym okienku w obszarze Domeny LDAP kliknij Utwórz.
Po dodaniu domeny możesz od razu rozpocząć pracę nad konfiguracją. Następnie wykonaj te trzy kroki:
Ogólne
Pierwsza strona konfiguracji domeny umożliwia zdefiniowanie ogólnych ustawień, takich jak nazwa domeny, adres URL dostawcy, dane głównego użytkownika i inne. Dostępne są następujące opcje:
Pierwszeństwo: Kolejność, w jakiej domeny są sprawdzane podczas żądania uwierzytelnienia.
Nazwa: Identyfikator tej domeny. Ta wartość musi być unikatowa wśród domen. Dodatkowo ta nazwa pojawi się w logach.
Adres URL dostawcy: Określa adres URL serwera katalogu LDAP. Wartość ta ma postać
ldap://host:port
. Należy pamiętać, że zaleca się używanie adresów IP zamiast nazw domen, aby uniknąć wyszukiwania DNS.Protokół bezpieczeństwa: W przypadku korzystania z LDAPS należy włączyć protokół SSL i przesłać certyfikat SSL (X509).
Principal: Nazwa logowania głównego użytkownika używana do wyszukiwania wszystkich innych użytkowników. Ten użytkownik MUSI mieć dostęp do odczytu do wszystkich części usługi katalogowej, które są używane w systemie ADONIS.
Principal domain: Domena głównego użytkownika.
Principal format: To pole określa sposób tworzenia nazwy użytkownika i domeny podmiotu w celu uwierzytelnienia w katalogu. Znaki zastępcze (
%principal%
,%principaldomain%
) są używane do reprezentowania nazwy logowania i domeny, a ich układ zależy od używanej usługi katalogowej. Na przykład w usłudze Microsoft Active Directory typowy format to%principal%@%principaldomain%
, podczas gdy dla IBM Tivoli jest tocn=%principal%,%principaldomain%
(gdzieprincipaldomain
ma określoną strukturę, n.p., "o=domain.com").Hasło: Hasło głównego użytkownika. Będzie przechowywane w postaci zaszyfrowanej.
Limit czasu połączenia: Maksymalny dozwolony czas nawiązywania połączenia z katalogiem podczas uwierzytelniania i innych żądań związanych z LDAP. Wartość domyślna, jeśli nie jest ustawiona, to 5000 milisekund (5 sekund)
Unikalny identyfikator: wybierz usługę, która ma służyć jako unikalny identyfikator do użytku wewnętrznego. Jeśli żadna określona właściwość LDAP nie jest w stanie jednoznacznie odróżnić obiektów katalogu, użyj
NAME_IN_NAMESPACE
. Możesz wybrać wiele właściwości, aby obsłużyć przypadki, w których różni użytkownicy mogą używać różnych właściwości (np. różnice w dużych/małych literach). System ADONIS będzie kolejno próbował każdej właściwości dla każdego użytkownika, używając pierwszej pasującej jako unikalnego identyfikatora.Login base DN: login base DN (Wyróżniająca się nazwa) określa punkt początkowy w strukturze katalogów, od którego serwer LDAP rozpoczyna wyszukiwanie obiektów użytkownika podczas procesu uwierzytelniania. Definiuje domenę podstawową w katalogu LDAP, w którym znajdują się użytkownicy. The default value is set to
DC=company,DC=com
, which corresponds to the root of thecompany.com
domain. Replacecompany
with your actual company or domain name, andcom
with the appropriate top-level domain (TLD) for your organisation.Filtr logowania: Ta obowiązkowa opcja filtru obejmuje symbol zastępczy nazwy użytkownika, używany do precyzyjnego identyfikowania odpowiedniego obiektu użytkownika w katalogu LDAP. Domyślna konfiguracja
(&( objectClass=user)(sAMAccountName=%username%))
jest zazwyczaj wystarczająca i zwykle nie wymaga modyfikacji. Gdy użytkownik próbuje się zalogować, ADONIS automatycznie zamienia%username%
na wprowadzoną nazwę użytkownika. Następnie filtr przeszukuje katalog LDAP w poszukiwaniu obiektu użytkownika z atrybutemsAMAccountName
pasującym do podanej nazwy użytkownika. Jeśli zostanie znaleziony odpowiedni wpis, system ADONIS potwierdzi, że dane logowania należą do prawidłowego użytkownika w katalogu. Aby uzyskać więcej informacji na temat dozwolonych typów filtrów i operatorów logicznych, zapoznaj się z tekstem informacyjnym powiązanym z tym ustawieniem.Filtr synchronizacji: Ta opcja definiuje filtr używany podczas zadań synchronizacji. Jest on zgodny z tymi samymi zasadami i opcjami, co Filtr logowania. Filtr synchronizacji działa jako mechanizm awaryjny dla zadań synchronizacji, które nie określają parametru "filter". Jeśli zadanie synchronizacji zostanie skonfigurowane bez parametru „filter” i nie zostanie zdefiniowany Filtr synchronizacji domyślny filtr (
objectClass=user
) zostanie zastosowany do tego zadania synchronizacji.Sync base DN: Ten parametr określa bazową nazwę wyróżniającą (DN), od której powinny rozpoczynać się zadania synchronizacji. Służy jako rezerwowy dla zadań synchronizacji, które nie mają zdefiniowanego parametru Start Node. Jeśli nie określono ani Sync Base DN, ani Start Node, wartość parametru Login Base DN w konfiguracji domeny będzie używana jako domyślny punkt początkowy dla tego zadania synchronizacji.
Login scope: Ta właściwość określa zakres wyszukiwania w katalogu. Określa on, jak szeroko zostanie przeprowadzone wyszukiwanie. Dostępne opcje to:
Poddrzewo: (domyślnie) Przeszukuje całe poddrzewo, zaczynając od katalogu głównego lub określonego węzła początkowego.
Jeden: Przeszukuje bieżący węzeł i jeden dodatkowy poziom pod nim.
Obiekt: Przeszukuje tylko bieżący obiekt. Ta opcja generalnie nie jest zalecana.
Paged result Control OIDs: Określa identyfikator obiektu (OID) dla kontrolki usługi katalogowej używanej do określenia, czy usługa katalogowa obsługuje wyniki stronicowane.
Rozmiar strony: Określa liczbę wpisów na stronę, gdy wyniki stronicowane są obsługiwane przez usługę katalogową. To ustawienie określa maksymalną liczbę wyników zwracanych na każdej stronie wyników wyszukiwania.
Domyślny konektor: Określa konektor z parowaniem LDAP, który powinien być używany do określania mapowania użytkownika, gdy LDAP jest używany poza określonym kontekstem konektora (np. w zaplanowanych zadaniach). Uwaga: Jeśli nie zostanie określony, system ADONIS użyje pierwszego aktywnego konektora z włączonym parowaniem LDAP dla tej domeny, który zawiera mapowanie użytkownika. Jeśli taki konektor nie zostanie znaleziony, mapowanie użytkowników będzie domyślnie mapowaniem użytkownika specyficznym dla domeny.
Ignore missing ObjectSID: Określa, czy ignorować brakujące wartości
objectSid
dla użytkowników LDAP. Domyślnie obiekty LDAP są identyfikowane przez ich unikalny identyfikator LDAP ID, pobierany za pomocą atrybutuobjectSid
. Jeśli nie można pobrać tego identyfikatora dla użytkownika LDAP, jego właściwości LDAP zostaną pominięte, co oznacza, że jego rola, grupa i inne przypisania zgodnie z mapowaniem użytkownika nie zostaną zastosowane. Dotyczy to zarówno akcji logowania, jak i synchronizacji. Jeśli ta opcja jest włączona, wszelkie brakujące wartościobjectSid
będą ignorowane, dane użytkownika będą nadal pobierane, ale użytkownik nie będzie miał unikalnego identyfikatora LDAP we właściwościach, co może prowadzić do problemów, takich jak niemożność zalogowania się do ADONIS Administration. Jeśli ten parametr jest wyłączony, brakujące wartościobjectSid
nie będą ignorowane, a dane użytkownika LDAP dla takich użytkowników zostaną pominięte.Referral: Konfiguruje sposób odesłań z usługi katalogowej. Jeśli nie zostanie określony, zostanie użyte domyślne zachowanie usługi katalogowej.
ignoruj: Nie śledzi odesłań; odesłania będą ignorowane.
follow: Automatycznie śledzi i rozwiązuje odwołania.
throw: Rzuca wyjątek w przypadku napotkania odwołania.
Mapowanie użytkowników
Druga strona konfiguracji domeny umożliwia skonfigurowanie mapowania użytkowników bezpośrednio na poziomie domeny. To mapowanie użytkowników zostanie zastosowane w przypadkach, gdy użytkownicy logują się za pośrednictwem konektora, który nie określa własnego mapowania użytkowników, lub gdy zaplanowana synchronizacja dla tej domeny nastąpi bez skonfigurowania Domyślnego konektora.
Sposób konfigurowania tych ustawień został wyjaśniony w dokumentacji konfiguracji konektora. Szczegółowe informacje można znaleźć w sekcji Mapowanie użytkownika.
Harmonogram
Trzecia strona konfiguracji domeny pozwala zautomatyzować synchronizację użytkowników z LDAP poprzez ustawienie harmonogramu dla określonej domeny.
Można również skonfigurować synchronizację dla wszystkich domen jednocześnie w sekcji ogólne ustawienia LDAP. Proces konfiguracji jest taki sam zarówno dla harmonogramów specyficznych dla domeny, jak i globalnych.
Dostępne są następujące opcje:
Nazwa: nazwa, która ma być używana dla tego zadania (tylko w celu śledzenia w plikach dziennika).
Filtr: opcjonalny filtr służący do zawężania wyników wyszukiwania. Jeśli dla zadania synchronizacji nie zostanie podany żaden określony filtr, wartość z ustawienia Filtr synchronizacji w konfiguracji domeny zostanie użyta jako rezerwa. Jeśli ani określony filtr, ani filtr awaryjny nie zostaną ustawione, zostanie zastosowany domyślny filtr
(objectClass=user)
.Węzeł początkowy: Określa węzeł w strukturze drzewa usługi katalogowej, który powinien być używany jako punkt początkowy wyszukiwania użytkowników. Parametr Sync Base DN jest używany jako rezerwowy, gdy atrybut Węzeł początkowy nie jest zdefiniowany dla zadania synchronizacji. Jeśli ani Sync Base DN, ani Węzeł początkowy, nie są zdefiniowane, parametr Login Base DN jest używany jako rezerwowy.
Typ: Wybierz jednostkę czasu dla harmonogramu synchronizacji. Dostępne opcje to sekunda, minuta, godzina, dzień, tydzień lub rok.
Interwał: Określa częstotliwość zadania synchronizacji. Wybierz co ile jednostek czasu systen ADONIS wykonuje zadanie. To ustawienie działa w połączeniu z opcją Typ i jest zgodne z opcjami co sekundę, co minutę, co godzinę i co rok.
Rozpocznij o: Opcjonalna data rozpoczęcia wskazująca, kiedy harmonogram powinien stać się aktywny. Domyślnie harmonogram jest aktywny natychmiast.
Zakończ o: Opcjonalna data końcowa określająca, kiedy harmonogram powinien stać się nieaktywny. Po tej dacie harmonogram nie będzie już aktywny.
Zaplanuj dane CRON: Ten parametr pozwala zaplanować zadanie synchronizacji tak, aby było uruchamiane cyklicznie o określonych godzinach lub datach. Działa w połączeniu z opcją Typ i jest kompatybilny z dniami, tygodniami i miesiącami. Obejmuje on następujące właściwości:
Dzień miesiąca: Określa dzień miesiąca, w którym zadanie powinno zostać uruchomione. Dozwolone wartości mieszczą się w zakresie od 1 do 31.
Dni tygodnia: Wybierz co najmniej jeden dzień tygodnia, w którym zadanie ma zostać wykonane.
Czas wykonywania: Definiuje dokładną godzinę i minutę, od której zadanie powinno się rozpocząć.
Dostosowywanie domen
Domeny można edytować, usuwać i wykonywać inne czynności:
Przejdź do Autentykacja > LDAP.
W lewym okienku w obszarze Domeny LDAP) znajdź domenę, którą chcesz zmienić.
Następnie wybierz jedną z następujących akcji:
Edycja domeny: Najedź kursorem na domenę, kliknij
Więcej, a następnie wybierz Edytuj. Teraz możesz skonfigurować domenę.
Usuwanie domeny: Najedź kursorem na domenę, kliknij
Więcej, a następnie wybierz Usuń.
Zwiększanie lub zmniejszanie pierwszeństwa: Jeśli włączonych jest wiele domen, można dostosować kolejność, w jakiej powinny być one sprawdzane w celu obsługi żądania uwierzytelnienia. Użyj uchwytu przeciągania (
), aby przeciągnąć domenę na nową pozycję. Możesz też najechać kursorem na domenę, kliknąć
Więcej, a następnie wybrać opcję Zwiększ pierwszeństwo lub Zmniejsz pierwszeństwo.
Konfiguracja ustawień LDAP
Aby zmodyfikować ogólne ustawienia LDAP, które mają zastosowanie do wszystkich domen:
Przejdź do Autentykacja > LDAP.
W prawym okienku w obszarze Ustawienia LDAP dostosuj ustawienia w sekcjach Ogólne, Środowisko, Właściwości i Harmonogram.
Dostępne są następujące opcje:
Ogólne
Włączone: Włączenie lub wyłączenie globalnego mechanizmu LDAP. Parowanie LDAP dla konektora będzie działać tylko wtedy, gdy to ustawienie jest włączone.
Zezwalaj na działanie klienta: określa, czy połączenia LDAP inicjowane po stronie klienta są dozwolone. To ustawienie kontroluje, czy następujące działania mogą być wyzwalane ręcznie w ADONIS Administration (patrz Serwer po więcej informacji):
Rozpocznij synchronizację LDAP
Wyczyść pamięć podręczną LDAP
Domena domyślna: Określ domenę, która ma być używana do uwierzytelniania i wysyłania zapytań dotyczących danych użytkownika, gdy nie określono żadnej innej domeny.
Tryb uwierzytelniania: Opcjonalne ustawienie, które określa poziom zabezpieczeń uwierzytelniania. Możliwe wartości to "none", "simple" lub "strong". Jeśli ta opcja nie zostanie określona, zachowanie będzie określane przez domyślne ustawienia dostawcy usługi katalogowej.
Context factory: Określa nazwę głównej klasy odpowiedzialnej za implementację LDAP. Jeśli używasz implementacji LDAP od JavaSoft, wartość powinna być ustawiona na
com.sun.jndi.ldap.LdapCtxFactory
. Dostosuj to ustawienie tylko wtedy, gdy jest to konieczne dla konkretnej konfiguracji LDAP.Prefiksy pakietów URL: Ta właściwość definiuje listę prefiksów pakietów, które mają być używane podczas ładowania fabryk kontekstu URL. Wartość powinna być rozdzieloną dwukropkami listą prefiksów pakietów dla nazwy klasy fabryki, która utworzy fabrykę kontekstu URL. Dostosuj to ustawienie tylko wtedy, gdy jest to konieczne dla konkretnej konfiguracji LDAP.
Środowisko: Lista dodatkowych właściwości używanych podczas tworzenia początkowego kontekstu LDAP. Te właściwości ułatwiają dostosowywanie środowiska LDAP i ustawień połączenia. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją
javax.naming.Context
. Dostosuj to ustawienie tylko wtedy, gdy jest to konieczne dla konkretnej konfiguracji LDAP.Właściwości: Te właściwości definiują podstawowy zestaw atrybutów, które będą pobierane za pośrednictwem protokołu LDAP. Jeśli Parowanie LDAP jest włączone, mogą zostać pobrane dodatkowe właściwości LDAP specyficzne dla konektora. Wszystkie właściwości, które powinny być używane w konfiguracjach domeny do ustawiania mapowania użytkownika bezpośrednio na poziomie domeny, muszą być zawarte na tej liście.
Harmonogram: Konfiguracja automatycznej synchronizacji użytkowników z LDAP dla wszystkich domen jednocześnie.
Synchronizację dla określonej domeny można również skonfigurować bezpośrednio w konfiguracji domeny. Proces konfiguracji jest taki sam zarówno dla harmonogramów specyficznych dla domeny, jak i globalnych. Szczegółowe informacje na temat dostępnych ustawień można znaleźć w sekcji Harmonogram w dokumentacji konfiguracji domeny.
SAML
Strona SAML umożliwia skonfigurowanie różnych parametrów w celu włączenia uwierzytelniania SAML. Ustawienia te definiują sposób interakcji systemu ADONIS z dostawcą tożsamości SAML (IdP).
Dostępne są następujące opcje:
Issuer name: Wprowadź unikalny identyfikator, którego usługa systemu ADONIS będzie używać do identyfikowania się z IdP. Ta wartość musi być zgodna z identyfikatorem skonfigurowanym po stronie IdP dla usługi ADONIS. Na przykład dla Microsoft Entra ID musi być równy Identifier (Entity ID).
Assertion consumer URL: Określ adres URL, pod którym ADONIS będzie oczekiwać otrzymania tokena uwierzytelniania od IdP. Wprowadź adres URL protokołu HTTPS ADONIS i dodaj ciąg "/auth.view", używając następującego wzorca: "https://< SERVER_NAME>:< TOMCAT_PORT>/ADONIS16_1/auth.view". Ta wartość musi być zgodna z adresem URL odpowiedzi skonfigurowanym po stronie dostawcy tożsamości. Na przykład w przypadku identyfikatora Microsoft Entra ID musi on być równy adresowi URL odpowiedzi (Assertion Consumer Service URL).
Token signing: Konfiguracja ustawień podpisywania tokenów SAML, co zapewnia integralność i autentyczność danych wymienianych między usługą ADONIS a dostawcą tożsamości (IdP).
Aby włączyć podpisywanie tokenów w systemie ADONIS, wymagany jest certyfikat SSL dla dostawcy usług (SP). W tym celu można wygenerować certyfikat z podpisem własnym za pomocą narzędzia Java keytool.
Keystore alias: Wprowadź alias określony w pliku KeyStore dla certyfikatu tokensigning SP.
Keystore file: Kliknij Przeglądaj, aby przesłać plik KeyStore zawierający certyfikat tokensigning SP.
Keystore password: Wprowadź hasło dostępu do magazynu kluczy. Będzie przechowywane w postaci zaszyfrowanej.
Assertion decryption: Jeśli IdP został skonfigurowany do szyfrowania asercji w celu zwiększenia bezpieczeństwa, można skonfigurować ustawienia odszyfrowywania asercji SAML w systemie ADONIS.
Aby włączyć deszyfrowanie asercji w systemie ADONIS, wymagany jest certyfikat SSL dla dostawcy usług (SP). Ten certyfikat może być taki sam jak certyfikat podpisywania tokenów SP.
Włączone: Włącz tę opcję, aby zezwolić systemowi ADONIS na odszyfrowywanie zaszyfrowanych asercji przychodzących od IdP.
Keystore alias: Wprowadź alias określony w pliku KeyStore dla certyfikatu deszyfrowania asercji SP.
Keystore file: Kliknij Przeglądaj, aby przesłać plik KeyStore zawierający certyfikat deszyfrowania asercji SP.
Keystore password: Wprowadź hasło dostępu do magazynu kluczy. Będzie przechowywane w postaci zaszyfrowanej.
JWT
Strona JWT umożliwia skonfigurowanie uwierzytelniania JWT dla żądań REST.
Sposób konfigurowania ustawień na stronie JWT jest wyjaśniony w ramach dokumentacji REST API. Aby uzyskać szczegółowe informacje, zapoznaj się z sekcją Włączanie uwierzytelniania JWT dla ADONIS.
OAuth 2.0
Strona OAuth 2.0 umożliwia skonfigurowanie uwierzytelniania OAuth 2.0 dla żądań REST.
Sposób konfigurowania ustawień na stronie OAuth 2.0 został wyjaśniony w dokumentacji interfejsu API REST. Szczegółowe informacje można znaleźć w Włączenie uwierzytelniania OAuth 2.0 w systemie ADONIS.
Więcej narzędzi
Strona Uwierzytelnianie zawiera narzędzia, które umożliwiają konfigurowanie ostrzeżeń dotyczących licencji, ustawień zabezpieczeń i ogólnych ustawień uwierzytelniania:
Ostrzeżenia dotyczące licencji
Aby skonfigurować ostrzeżenia dotyczące licencji - automatyczne powiadomienia e-mail, gdy większość dostępnych nazwanych użytkowników jest już przypisana do określonego scenariusza i należy podjąć działania w celu przedłużenia licencji:
- Przejdź do Autentykacja > Więcej opcji, a natępnie kliknij Ostrzeżenia dotyczące licencji.
Dostosuj następujące parametry i zapisz zmiany później:
Adres e-mail odbiorcy powiadomienia: Wprowadź adres e-mail, na który mają być wysyłane powiadomienia.
Próg powiadomienia: Określa próg powiadomień Wprowadź procent nazwanych użytkowników już przypisanych do określonego scenariusza, którego przekroczenie powoduje uruchomienie ostrzeżenia o licencji.
Powiadomienie o przekroczeniu progu: Określa, czy powiadomienie jest wysyłane, gdy liczba nazwanych użytkowników dla scenariusza przekroczy skonfigurowany próg.
Powiadamiaj o przywróceniu wartości progowej: Określa, czy powiadomienie jest wysyłane, gdy liczba nazwanych użytkowników dla scenariusza spadnie poniżej skonfigurowanego progu.
Dostępność
Ta funkcja jest dostępna, jeśli komponent poczty został skonfigurowany.
Szczegółowe informacje na temat konfiguracji komponentu poczty można znaleźć w sekcji Poczta e-mail.
Ustawienia bezpieczeństwa
Aby zmodyfikować ustawienia zabezpieczeń uwierzytelniania:
Przejdź do Autentykacja > Więcej opcji, a następnie kliknij Security Settings.
Dostosuj ustawienia w sekcjach Ogólne, Brute force, Ponowne uwierzytelnianie, REST i Ograniczenia adresów IP portalu organizacji.
Dostępne są następujące opcje:
Ogólne
- Allow CORS: Włącz tę opcję, aby zezwolić na żądania uwierzytelniania OAuth 2.0 z modułu ADONIS Process Manager for Confluence .
Brute Force: Skonfiguruj opcję brute force protection dla regularnych prób logowania do systemu ADONIS przez użytkowników (patrz Konfiguracja Brute Force Protection).
Ponowne uwierzytelnianie
Włączone: Włącz tę opcję, aby zezwolić na ponowne uwierzytelnianie. Ponowne uwierzytelnianie można dostosować w celu ochrony niektórych krytycznych działań biznesowych w systemie ADONIS.
Brute Force: Skonfiguruj opcję brute force protection dla prób ponownego uwierzytelnienia (patrz Konfiguracja Brute Force Protection).
REST
Allow CORS: Włącz tę opcję, aby zezwolić na żądania z modułu ADONIS Process Manager for Confluence module .
Brute Force: Skonfiguruj opcję brute force protection dla prób logowania za pośrednictwem interfejsu ADONIS REST API (patrz Konfiguracja Brute Force Protection).
Basicauth IP Restrictions: Określa adresy IP, które będą mogły wysyłać żądania z podstawowym uwierzytelnianiem do ADONIS REST API (patrz Konfiguracja ograniczeń IP).
Basicauth Roles: Opcjonalnie wybierz role systemowe, z których użytkownik musi mieć co najmniej jedną, aby korzystać z ADONIS REST API z podstawowym uwierzytelnianiem. Jeśli nie zostanie wybrana żadna rola systemowa, wszystkie role systemowe będą zezwalać na dostęp do interfejsu API.
Org Portal IP Restrictions: Określ adresy IP, które mają mieć dostęp do Portalu organizacji (patrz Konfiguracja ograniczeń IP).
Konfiguracja Brute Force Protection
ADONIS has a mechanism to prevent brute force attempts from gaining access to login credentials. After a specified number of failed login attempts, login to ADONIS is blocked and a message is shown to the user. To adapt the brute force protection settings:
- Open the ADONIS Administration and go to Authentication > More options > Security settings.
You can configure brute force protection settings at the following levels:
Brute Force: Settings for regular login attempts to ADONIS by users.
Reauthentication: Settings for reauthentication attempts. Reauthentication can be customised to protect certain critical business actions in ADONIS.
REST: Settings for login attempts via the REST API that allows authenticated access to exposed functionality in ADONIS.
Adapt the following parameters and save the changes afterwards:
Sleeptime Max Attempts per IP: The amount of time (in milliseconds) that login attempts are blocked for an IP address after a specified amount of failed login attempts. The default value is 60,000 milliseconds (= 1 minute).
Sleeptime Max Attempts Overall: The amount of time (in milliseconds) that login attempts are blocked for all users after a specified amount of overall failed login attempts. The default value is 30,000 milliseconds (= 30 seconds).
Clean Up Threshold User: Time frame (in milliseconds) in which failed attempts for a user name are accounted. The default value is 600,000 milliseconds (= 10 minutes).
Clean Up Threshold IP: Time frame (in milliseconds) in which failed attempts for an IP address are accounted. The default value is 10,800,000 milliseconds (= 3 hours).
Clean Up Period: Time frame (in milliseconds) in which failed attempts for all users are accounted. The default value is 60,000 milliseconds (= 1 minute).
Max Attempts per IP: The maximum number of failed login attempts before an IP address is blocked for a specified amount of time. The default value is 75 times.
Max Attempts per Username: The maximum number of failed login attempts before a user name is blocked for 10 minutes. The default value is 15 times.
Max Attempts Overall: The maximum number of overall failed login attempts before all users are blocked for a specified amount of time. The default value is 150 times.
Example
If there are 75 failed login attempts from an IP address [Max Attempts per IP
] during an
interval of 3 hours [Clean Up Threshold IP
], users on that IP address have to wait for one
minute [Sleeptime Max Attempts per IP
].
Konfiguracja ograniczeń adresów IP
W tej sekcji wyjaśniono, jak skonfigurować ograniczenia adresów IP na następujących poziomach:
Restrykcje Basicauth IP : Kontroluj, które adresy IP mogą wysyłać żądania z podstawowym uwierzytelnianiem do ADONIS REST API.
Ograniczenia IP portalu organizacji: Kontroluj, które adresy IP mają dostęp do Portalu organizacji
Konfiguracja
Aby skonfigurować ograniczenie adresu IP:
Kliknij Dodaj ograniczenie adresu IP, aby utworzyć nową regułę adresu IP.
W sekcji Tryb, wybierz Zezwalaj lub Odmów, aby określić, czy reguła będzie zezwalać na dostęp, czy go blokować.
W obszarze Zastosuj do, wybierz Wszystkie, aby zastosować regułę do wszystkich adresów IP lub wybierz opcję Niestandardowy adres IP, aby zdefiniować określone adresy IP lub zakresy. Wybierając opcję Niestandardowy adres IP, możesz wprowadzić pojedynczy adres IP (np. 192.168.1.1) lub użyć formatu wieloznacznego (np. 192.168.*), aby objąć szerszy zakres adresów.
Jak działają ograniczenia dotyczące adresów IP
Podczas konfigurowania ograniczeń IP należy pamiętać o następujących kwestiach:
Jeśli istnieją ograniczenia adresów IP, ale nie zostanie znaleziona pasująca reguła, domyślną akcją jest "odmów".
Jeśli nie ustawiono żadnych ograniczeń dotyczących adresów IP, domyślne zachowanie zależy od funkcji:
Ograniczenia adresu IP uwierzytelniania podstawowego: Wartość domyślna to "odmów"
Ograniczenia adresów IP Portalu organizacji: wartość domyślna to "zezwalaj"
Decyduje pierwsza pasująca reguła. Załóżmy, że dodasz następujące ograniczenia adresów IP:
Tryb: Zezwalaj, Zastosuj do:
192.*
Tryb: Odmów, Zastosuj do:
192.168.0.1
W takim przypadku reguła "odmów" nie będzie miała żadnego zastosowania, ponieważ reguła "zezwalaj" ma już zastosowanie do adresu
192.168.0.1
.
Przykład
Aby zablokować wszystkie adresy IP rozpoczynające się od 192.,
odrzuć adres IP 193.168.0.1
i
zezwól na wszystkie inne adresy IP:
Tryb: Odmów, Zastosuj do: 192.*
Tryb: Odmów, Zastosuj do: 193.168.0.1
Tryb: Zezwalaj, Zastosuj do: Wszystkie
Aby zezwolić na wszystkie adresy IP zaczynające się od 178.
z wyjątkiem 178.6.6.6
i odmówić
wszystkich innych adresów IP:
Tryb: Odmów, Zastosuj do: 178.6.6.6
Tryb: Zezwalaj, Zastosuj do: 178.*
Tryb: Odmów, Zastosuj do: Wszystkie
Ustawienia ogólne
Aby zmodyfikować ogólne ustawienia uwierzytelniania:
- Przejdź do Autentykacja > Więcej opcji, a następnie kliknij Ustawienia ogólne.
Dostępne są następujące opcje:
Śledzenie: Włącz rejestrowanie śledzenia uwierzytelniania, aby dodatkowe szczegóły uwierzytelniania były rejestrowane w dziennikach serwera WWW. Jest to przydatne w fazie konfiguracji mechanizmów uwierzytelniania, takich jak SAML. Śledzenie zostanie automatycznie wyłączone po ponownym uruchomieniu serwera WWW.
Reset konfiguracji: Zresetuj ustawienia uwierzytelniania do ustawień fabrycznych. Wszelkie wcześniej zastosowane modyfikacje zostaną utracone.