Przejdź do głównej zawartości
Wersja: 17.1

Uwierzytelnianie

Strona Uwierzytelnianie umożliwia konfigurację mechanizmów uwierzytelniania dla użytkowników logujących się do systemu ADONIS. Mechanizmy te mogą być używane pojedynczo lub w połączeniu. Można również skonfigurować ustawienia uwierzytelniania dostępu do REST API systemu ADONIS.

Strona Uwierzytelnianie składa się z 7 podstron:

  • Konektory: Skonfiguruj konektory, z których każdy reprezentuje mechanizm uwierzytelniania w systemie ADONIS.

  • LDAP: Dodawanie domen LDAP i ogólnych ustawień LDAP oraz zarządzanie nimi w systemie ADONIS.

  • SAML: Modyfikowanie globalnych parametrów konfiguracyjnych konektorów SAML.

  • JWT: Tworzenie konfiguracji JWT w celu uzyskania dostępu do REST API systemu ADONIS.

  • OAuth 2.0: Edytowanie ustawień OAuth 2.0 dotyczących uzyskiwania dostępu do REST API systemu ADONIS .

  • OIDC: Włączenie i konfiguracja systemu ADONIS jako Dostawcy OpenID.

  • SCIM: Zawiera link do ustawień usług SCIM, które znajdują się na stronie Konfiguracja komponentów.

Dodatkowo, więcej narzędzi można znaleźć pod przyciskiem Więcej opcji gdzie możliwe jest skonfigurowanie ostrzeżeń licencyjnych, ustawień bezpieczeństwa i ogólnych ustawień uwierzytelniania.

Konektory

Strona Konektory pozwala na tworzenie, edytowanie i usuwanie konektorów. Konektory reprezentują mechanizmy uwierzytelniania w systemie ADONIS. Każdy konektor może być używany indywidualnie lub w połączeniu z innymi i może być skonfigurowany do sparowania z usługą LDAP, w celu pobierania dodatkowych danych użytkownika z usług katalogowych.

Przeglądanie konektorów

Po otwarciu strony Konektory, zostanie wyświetlona lista wszystkich konektorów oraz ich szczegóły. Wyświetlane są następujące informacje:

  • Pierwszeństwo: Kolejność, w jakiej konektory są używane podczas żądania uwierzytelnienia. Jeśli użytkownik zaloguje się bez określonego konektora lub typu, system ADONIS użyje pierwszego odpowiedniego konektora z listy, chyba że zostaną zdefiniowane określone ograniczenia.

  • Nazwa: Nazwa konektora.

  • Typ: Typ konektora.

  • Konektor włączony: Wskazuje, czy konektor jest włączony, czy wyłączony.

  • Parowanie z LDAP: Wskazuje, czy dla tego konektora skonfigurowano parowanie z LDAP.

  • Ograniczenia IP: Wskazuje, czy dla tego konektora skonfigurowano ograniczenia adresów IP.

Typy konektorów

Dostępne są następujące typy konektorów w systemie ADONIS:

  • STANDARD: Wyświetla standardową stronę logowania, na której użytkownicy mogą wprowadzić swoją nazwę użytkownika i hasło. Obsługuje dwa mechanizmy uwierzytelniania

    • Standardowi użytkownicy systemu ADONIS: Jeśli parowanie LDAP nie jest skonfigurowane, podane poświadczenia uwierzytelniają użytkownika w bazie danych.

    • Uwierzytelnianie LDAP: Jeśli parowanie LDAP jest skonfigurowane, dostarczone poświadczenia uwierzytelniają użytkownika w skonfigurowanej usłudze katalogowej.

  • IDM: Obsługuje uwierzytelnianie IDM, umożliwiając użytkownikom logowanie się za pomocą metody single sign-on lub za pomocą nazwy użytkownika i hasła.

  • SAML: Obsługuje uwierzytelnianie SAML, umożliwiając logowanie metodą single sign-on lub logowanie za pomocą poświadczeń (nazwa użytkownika, hasło, certyfikaty itp.).

  • OIDC: Obsługuje uwierzytelnianie OIDC, dając możliwość logowania metodą single sign-on.

Dodawanie i konfigurowanie konektora

Aby utworzyć nowy konektor:

  1. Przejdź do Autentykacja > Konektory, a następnie kliknij Utwórz.

  2. W polu ID wprowadź unikatową nazwę konektora.

  3. Z listy Wybierz typ wybierz typ konektora.

  4. Kliknij Utwórz.

Po utworzeniu konektora możesz od razu rozpocząć pracę nad konfiguracją. Wykonaj te cztery kroki:

  1. Właściwości

  2. Ograniczenia

  3. Parowanie LDAP

  4. Mapowanie użytkowników

Te kroki zostały omówione bardziej szczegółowo w poniższych sekcjach.

Właściwości

Pierwsza strona konfiguracji konektora umożliwia zdefiniowanie różnych ustawień w zależności od wybranego typu konektora.

STANDARD

Dla konektorów typu STANDARD dostępne są następujące ustawienia:

SAML

Wskazówka

W tej sekcji opisano ustawienia dla konektorów SAML.

Szczegółowe instrukcje dotyczące konfiguracji uwierzytelniania opartego na protokole SAML w systemie ADONIS, znajdują się w przewodniku ADONIS SAML .

Dla konektorów SAML, dostępne są następujące ustawienia:

  • Właściwości IDP

    • Nazwa IDP: Nazwa dostawcy tożsamości (IdP). Możesz wybrać dowolną nazwę. Nazwa ta będzie wyświetlana w systemie ADONIS i w logach.

    • Typ powiązania: Określa typ powiązania dla komunikacji z IdP. Domyślnie jest to „post”, co oznacza, że komunikacja odbywa się poprzez przesłanie formularza HTML przy użyciu metody POST. Jeśli ustawione na „redirect”, klient skontaktuje się z IdP za pośrednictwem wywołania przekierowania, chociaż może to nie być dozwolone w określonych zasadach.

    • Adres IDP   : Określa adres URL IdP do wysyłania żądań uwierzytelnienia.

    • Odszyfrowanie potwierdzenia: Kontroluje, czy szyfrowanie potwierdzenia jest włączone dla tego określonego łącznika. Dostępne opcje to: "Włączone", "Wyłączone", lub "Nie ustawiono".

      • Jeśli została wybrana opcja ,,Nie ustawiono'', zostaną zastosowane ustawienia szyfrowania potwierdzeń globalnych z konfiguracji SAML.

      • Jeśli została wybrana opcja ,,Wyłączone'', odszyfrowywanie/szyfrowanie potwierdzeń będzie wyłączone dla tego konektora, niezależnie od globalnych ustawień SAML.

      • Jeśli została wybrana opcja ,,Włączone'', szyfrowanie potwierdzeń będzie wymagane dla tego konektora, ale zależy to również od globalnych ustawień SAML, które muszą mieć włączone i poprawnie skonfigurowane szyfrowanie potwierdzeń.

      Domyślnie ustawienie to ma wartość „Nie ustawiono”, co oznacza, że globalne ustawienia szyfrowania potwierdzeń SAML określą, czy szyfrowanie jest stosowane dla tego konektora.

    • Zakończenie sesji IDP po zakończeniu sesji dostawcy usług: Określa, czy wylogowanie z systemu ADONIS powinno również powodować wylogowanie z IdP. Domyślnie ta opcja jest wyłączona

    • Adres URL konsumenta asercji: Określ adres URL, pod którym system ADONIS będzie oczekiwać otrzymania tokenu uwierzytelniania od dostawcy tożsamości dla tego konkretnego łącznika. Ten adres URL zastąpi domyślny adres URL konsumenta potwierdzenia zdefiniowany w globalnych ustawieniach SAML.

      Wskazówka

      Proces konfiguracji jest identyczny zarówno dla adresów URL konsumentów specyficznych dla łącznika, jak i domyślnych asercji. Szczegółowe informacje o dostępnych ustawieniach można znaleźć w dokumentacji globalnych ustawień SAML.

    • plik klucza publicznego IDP: Kliknij Przeglądaj, aby przesłać certyfikat podpisywania tokenu z IdP. To pole może być wstępnie wypełnione, jeśli wcześniej odwołałeś się do adresu URL metadanych IdP w systemie ADONIS (patrz Konfiguracja IdP w sekcji Dostosowywanie konektorów).

  • Oświadczenia: Zarejestruj oświadczenia, których system ADONIS powien spodziewać się otrzymania od dostawcy tożsamości. Oświadczenia są używane do przesyłania informacji o użytkowniku (np. adres e-mail, imię i nazwisko).

IDM

W przypadku konektorów typu IDM dostępne są następujące ustawienia:

  • Lokalizacja użytkownika zdalnego: Określa sposób identyfikacji użytkownika zdalnego w scenariuszu IDM. Dostępne opcje to: "metoda", "nagłówek" lub "basic_auth".

    • W przypadku wybrania opcji "metoda" użytkownik zdalny jest określany za pomocą metody żądania serwletu getRemoteUser.

    • W przypadku wybrania opcji "nagłówek" użytkownik zdalny jest wyodrębniany z nagłówka żądania. Należy określić nagłówek w polu Nazwa nagłówla, który zawiera nazwę zdalnego użytkownika.

    • W przypadku wybrania opcji "basic_auth" użytkownik zdalny jest pobierany z nagłówka Autoryzacja żądania.

    Opcjonalnie możesz dołączyć instrukcje przetwarzania do obsługi lub modyfikowania wartości nazwy użytkownika w czasie wykonywania.

  • Nazwa nagłówka zawierającego nazwę użytkownika zdalnego: Wymagane jeśli lokalizacja użytkownika zdalnego jest ustawiona na ,,nagłówek''. To pole definiuje nazwę nagłówka, w którym znajduje się nazwa użytkownika zdalnego.

  • Przytnij rozszerzenie domeny zdalnej nazwy użytkownika: Określa, czy usunąć rozszerzenie domeny (np. „\@domena”) ze zdalnej nazwy użytkownika. Po włączeniu (ustawienie domyślne) nazwa użytkownika taka jak „user\@domain” zostanie skrócona do „user”.

  • Wyrażenie regularne zastępujące ciągi znaków w nazwie użytkownika innym ciągiem znaków: Umożliwia zdefiniowanie reguły modyfikującej nazwę użytkownika poprzez zastąpienie określonych ciągów znaków. Reguła musi być podana jako wyrażenie regularne.

  • Zastępuje sekcje nazwy użytkownika znalezione w polu wyrażenia regularnego: Określa ciąg znaków, który zastąpi sekcje nazwy użytkownika zidentyfikowane za pomocą pola Wyrażenie regularne zastępujące ciągi znaków w nazwie użytkownika innym ciągiem znaków.

OIDC

W przypadku konektorów OIDC dostępne są następujące ustawienia:

  • Serwer autoryzacji

    • Punkt końcowy autoryzacji: punkt końcowy autoryzacji w OP.

    • Punkt końcowy tokenu: punkt końcowy tokenu w OP.

    • Wystawca: identyfikator wystawcy OP.

    • Client ID: Publiczny identyfikator dla systemu ADONIS zarejestrowany w OP.

    • Client secret: Tajne hasło do systemu ADONIS zarejestrowane w OP.

    • Zapamiętaj użytkownika: Włącz tę opcję, aby zapisać ostatnio używany identyfikator użytkownika i przekazać go do przyszłych procesów uwierzytelniania, dzięki czemu to konto użytkownika zostanie automatycznie wybrane (może być przydatne podczas obsługi wielu kont użytkowników.

  • Oświadczenia: Zarejestruj oświadczenia, których system ADONIS powinen oczekiwać otrzymania od OP. Oświadczenia są używane do przesyłania informacji o użytkowniku (np. adres e-mail, imię i nazwisko).

  • Zakresy: Definiuje zakresy używane podczas procesu uwierzytelniania w celu autoryzacji dostępu do określonych danych użytkownika. Każdy zakres zwraca zestaw atrybutów, które są reprezentowane jako oświadczenia.

Konfiguracja samodzielnego resetowania haseł

Samodzielne resetowanie hasła umożliwia użytkownikom systemu ADONIS resetowanie własnych haseł bez konieczności kontaktowania się z administratorem ADONIS za każdym razem. Mogą po prostu kliknąć link „Nie pamiętasz hasła?” na stronie logowania, a następnie otrzymają wiadomość e-mail z linkiem do zresetowania hasła.

Dostępność

Ta funkcja jest dostępna, jeśli skonfigurowany jest komponent poczty i używany jest konektor STANDARD (= standardowa strona logowania, na której użytkownik może wprowadzić swoją nazwę użytkownika i hasło).

Wskazówka

Szczegółowe informacje na temat konfiguracji komponentu poczty można znaleźć w sekcji Poczta e-mail.

Następujący użytkownicy NIE MOGĄ samodzielnie resetować swojego hasła:

  • Administratorzy systemu ADONIS (użytkownicy z uprawnieniami administratora globalnego)

  • Użytkownicy techniczni

  • Użytkownicy z zewnętrznego systemu zarządzania użytkownikami

  • Użytkownicy bez adresu e-mail

Konfiguracja

W ADONIS Administration można włączyć lub wyłączyć samodzielne resetowanie hasła oraz skonfigurować czas ważności linku resetowania hasła.

Aby skonfigurować właściwości resetowania hasła:

  • Przejdź do Autentykacja > Konektory.

  • Edytuj odpowiedni konektor STANDARD, na przykład Logowanie standardowe. Na stronie Właściwości w obszarze Resetowanie hasła dostosuj następujące ustawienia:

    • Włączone: Zaznacz lub wyczyść tę opcję, aby włączyć lub wyłączyć resetowanie hasła w systemie ADONIS.

    • Wygaśnięcie resetowania hasła w minutach: określ, jak długo link resetowania hasła jest ważny w minutach (na przykład 30 minut)

  • Kliknij OK, a następnie kliknij Zapisz.

Ograniczenia

Druga strona konfiguracji konektora umożliwia definiowanie ograniczeń. Dostępne są następujące opcje:

  • Ograniczenia: Użyj tej opcji, aby ograniczyć dostęp do konektora, zezwalając na żądania lub blokując je na podstawie adresu IP klienta. Można zdefiniować reguły, które zezwalają na dostęp lub go odmawiają w zależności od tego, czy adres IP klienta jest zgodny z określonym wzorcem. Zachowanie jest determinowane przez zastosowaną logikę - albo "białą listę" (zezwól na dostęp), albo "czarną listę" (odmów dostępu). Dla każdego ograniczenia można wybrać jeden z dwóch trybów:

    • Dopasuj: Stosuje regułę, jeśli adres IP klienta jest dokładnie zgodny z określonym wzorcem.

    • Podsieć: Stosuje regułę, jeśli adres IP klienta mieści się w zdefiniowanym zakresie podsieci.

Parowanie LDAP

Trzecia strona konfiguracji konektora umożliwia skonfigurowanie parowania LDAP dla dowolnego konektora. Ta funkcja umożliwia pobieranie dodatkowych danych użytkownika z usługi katalogowej. W przypadku konektorów typu STANDARD parowanie LDAP ułatwia również uwierzytelnianie użytkownika względem skonfigurowanej usługi katalogowej. Dostępne są następujące opcje:

  • Włączanie/wyłączanie parowania LDAP

    • Włączone: Włącz lub wyłącz parowanie LDAP dla tego konektora. Należy pamiętać, że parowanie LDAP będzie działać tylko wtedy, gdy mechanizm LDAP zostanie aktywowany w ustawieniach ogólnych LDAP.

  • Domeny LDAP: opcjonalnie wybierz co najmniej jedną domenę, która ma być używana do uwierzytelniania i pobierania danych użytkownika. Do wyboru będą dostępne tylko domeny skonfigurowane wcześniej na stronie LDAP. Jeśli nie określono żadnej domeny, ADONIS będzie próbował sekwencyjnie sprawdzać wszystkie domeny z globalnych ustawień LDAP, aż do pomyślnego uwierzytelnienia.

  • Właściwości: Opcjonalnie zdefiniuj dodatkowe właściwości LDAP specyficzne dla tego konektora. Te właściwości będą używane razem z właściwościami ustawionymi w ustawieniach ogólnych LDAP.

Mapowanie użytkowników

Czwarta strona konfiguracji konektora umożliwia zdefiniowanie dla każdego konektora sposobu przetwarzania właściwości pobranych z zewnętrznego systemu zarządzania użytkownikami w celu przypisania ról systemowych, grup użytkowników, repozytoriów i innych.

Wskazówka

Tylko właściwości zdefiniowane wcześniej w systemie ADONIS można wybrać. Na przykład właściwości konektorów SAML są definiowane w obszarze Oświadczenia na stronie Właściwości. Jeśli ma być używane parowanie LDAP, podstawowy zestaw atrybutów do pobrania można zdefiniować w ustawieniach ogólnych LDAP, natomiast dodatkowe właściwości LDAP specyficzne dla konektora można zdefiniować bezpośrednio na stronie parowanie LDAP.

Dostępne są następujące opcje:

  • Włączanie/wyłączanie mapowania użytkownika specyficznego dla łącznika

    • Włączone: Włącz lub wyłącz mapowanie użytkownika zdefiniowane w tym miejscu na poziomie łącznika. Wyłącz tę opcję tylko wtedy, gdy dla tego łącznika skonfigurowano parowanie LDAP i chcesz użyć mapowania użytkownika specyficznego dla domeny zamiast mapowania użytkownika specyficznego dla łącznika.

  • Właściwości: Przypisywanie atrybutów użytkownika w systemie ADONIS w oparciu o właściwości zewnętrzne. Każde przypisanie jest konfigurowane z następującymi parametrami:

    • Właściwość: wybierz właściwość zewnętrzną, która ma być mapowana na atrybut użytkownika.

    • Atrybut: odpowiadający mu atrybut w systemie ADONIS (np. "Imię" lub "Adres e-mail").

    • Instrukcja przetwarzania: Opcjonalnie można dołączyć instrukcje przetwarzania do obsługi lub modyfikowania wartości w czasie wykonywania.

Przykład

Właściwość: givenName, Atrybut: Imię

Wartość właściwości LDAP "givenName" jest przypisana do atrybutu "Imię" w ADONIS.

  • Role: Przypisywanie ról systemowych na podstawie właściwości zewnętrznych.

    • Role domyślne: Definiowanie domyślnych ról systemowych dla użytkowników, jeśli nie mają zastosowania żadne inne przypisania ról.

    • Role: Konfiguracja niestandardowych przypisań ról przy użyciu:

      • Właściwość: Wybór właściwości służąca do przypisywania roli systemowej.

      • Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).

      • Dopasuj: Definiowanie wartości do dopasowania.

      • Nazwa docelowa: Wybór roli systemowej systemu ADONIS do przypisania.

  • Grupy: Przypisywanie grup użytkowników na podstawie właściwości zewnętrznych.

    • Grupy domyślne: Definiowanie domyślnych grup użytkowników dla użytkowników, jeśli nie mają zastosowania żadne inne przypisania grup.

    • Grupy: Konfiguracja niestandardowych przypisań grup przy użyciu:

      • Właściwość: Wybór właściwości służąca do przypisywania grupy użytkowników.

      • Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).

      • Dopasuj: Definiowanie wartości do dopasowania.

      • Nazwa docelowa: Wybór grupy użytkowników systemu ADONIS do przypisania.

  • Repozytorium: Przypisywanie repozytoriów do użytkowników jako ich miejsce pracy. Jednocześnie użytkownicy będą udostępniani jako obiekty w modelowaniu.

    • Przypisania linii bazowych: Zdefiniuj repozytoria linii bazowych, które będą automatycznie przypisywane do każdego użytkownika. Chociaż nadal można konfigurować warunkowe przypisania repozytoriów, te repozytoria będą służyć jako punkt odniesienia dla wszystkich użytkowników. Wybierz "Wszystkie repozytoria" lub konkretne repozytorium. Dla określonych repozytoriów można również określić grupę obiektów, w której powinny znajdować się przypisane obiekty użytkownika.

    • Przypisania warunkowe: Skonfiguruj niestandardowe przypisania repozytorium przy użyciu:

      • Właściwość: Wybierz właściwość służącą do przypisywania repozytorium.

      • Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).

      • Dopasuj: Definiowanie wartości do dopasowania.

      • Nazwa docelowa: wybierz repozytorium w systemie ADONIS do przypisania. Wybierz jako cel „Wszystkie repozytoria” lub konkretne repozytorium. Dla określonych repozytoriów można również określić grupę obiektów, w której powinny znajdować się przypisane obiekty użytkownika.

  • Użytkownik nazwany: Przypisywanie użytkowników do scenariuszy nazwanych.

    • Scenariusze domyślne: Definiowanie scenariuszy, do których użytkownicy powinni mieć domyślnie nazwany dostęp do użycia, jeśli nie mają zastosowania żadne inne przypisania scenariuszy.

    • Scenariusze: Konfigurowanie niestandardowych przypisań scenariuszy przy użyciu:

      • Właściwość: Wybór właściwości, która ma zostać przypisana do scenariusza.

      • Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).

      • Dopasuj: Definiowanie wartości do dopasowania.

      • Nazwa docelowa: Wybierz scenariusz systemu ADONIS który powinnien być przypisany.

  • Zamapowana obsługa użytkowników: Może służyć do określania przypadków, w których już uwierzytelnieni użytkownicy powinni być mapowani na (= traktowanych jako) aliasy użytkowników. Ci użytkownicy będą reprezentować uwierzytelnionego użytkownika podczas logowania do systemu ADONIS. Przykładem może być mapowanie określonej grupy użytkowników na użytkownika z dostępem do portalu organizacji.

    • Domyślny zmapowany użytkownik: Zdefiniowanie domyślnego użytkownika, do którego użytkownicy powinni być przypisywani, jeśli nie ma zastosowania żadne inne mapowanie (tylko nowi użytkownicy).

    • Zamapowani użytkownicy: Konfiguracja niestandardowych przypisań użytkowników przy użyciu:

      • Właściwość: Wybór właściwość, do której ma zostać przypisany alias użytkownika.

      • Typ: Wybór metody dopasowywania wartości (zobacz Możliwe metody dopasowywania wartości).

      • Dopasuj: Definiowanie wartości do dopasowania.

      • Mapowanie istniejących użytkowników: Opcjonalne określenie sposobu obsługi istniejących użytkowników. Gdy ta opcja jest włączona, uwierzytelniony użytkownik będzie zawsze traktowany jako alias, jeśli zostaną spełnione kryteria mapowania. Jeśli ta opcja jest wyłączona, mapowanie dotyczy tylko nowych użytkowników, którzy nie istnieją jeszcze w bazie danych ADONIS i nie mogą być automatycznie tworzeni.

      • Nazwa docelowa: Wybór aliasu użytkownika w systemie ADONIS który powinnien być przypisany.

  • Synchronizuj użytkowników: Kontrola nad tworzeniem i synchronizacją użytkowników:

    • Utwórz użytkownika automatycznie: Określa, czy użytkownicy logujący się do systemu ADONIS po raz pierwszy będą tworzeni „w locie” w bazie danych systemu ADONIS.

    • Synchronizuj automatycznie: Określa, czy dane użytkownika mają być aktualizowane zgodnie z informacjami pobranymi z usługi katalogowej za każdym razem, gdy użytkownik się loguje i/lub za każdym razem, gdy wykonywane jest zadanie okresowej synchronizacji. Ręczne zmiany wprowadzone dla użytkownika przez administratora systemu ADONIS są w tym przypadku nadpisywane.

      To, jakie dane użytkownika są synchronizowane, można zdefiniować we właściwościach podrzędnych tego parametru:

      • Synchronizuj atrybuty: Określa, czy przypisanie atrybutów użytkownika ma być aktualizowane przy każdej synchronizacji danych użytkownika.

      • Synchronizuj role: Określa, czy przypisanie ról systemowych ma być aktualizowane przy każdej synchronizacji danych użytkownika.

      • Synchronizuj grupy: Określa, czy przypisanie grup użytkowników ma być aktualizowane przy każdej synchronizacji danych użytkowników.

      • Synchronizuj repozytoria: Określa, czy przypisanie repozytoriów ma być aktualizowane przy każdej synchronizacji danych użytkownika.

      • SSynchronizuj użycie nazwane: Określa, czy przypisanie dostępu nazwanego użycia do scenariuszy powinno być aktualizowane przy każdej synchronizacji danych użytkownika.

  • Obsługa usuwania: Określ, co powinno się stać z użytkownikami, którzy nie są znajdowani podczas wykonywania zadania cyklicznej synchronizacji.

    • Usuń nie znalezionych użytkowników: Określa, czy użytkownicy, którzy nie zostali znalezieni podczas synchronizacji, powinni zostać usunięci.

    • Przenieś użytkowników, których nie można usunąć do grupy: Określa, czy użytkownicy, których nie można usunąć podczas synchronizacji, powinni zostać przeniesieni do określonej grupy użytkowników. Jeśli opcja ta jest włączona, należy wybrać określoną grupę, do której mają zostać przeniesieni użytkownicy, których nie można usunąć.

Wskazówka

Którzy użytkownicy są nieusuwalni?

  • Użytkownicy, którzy są zalogowani.

  • Użytkownicy, którzy zostali udostępnieni repozytorium (= aby udostępnić ich jako obiekty w modelowaniu), gdy są używani w modelu lub mają przychodzące odniesienia,

Możliwe metody dopasowywania wartości

Podczas definiowania mapowania użytkownika dla łącznika możliwe metody dopasowywania wartości obejmują (parametr Typ ):

  • equals: Wartości muszą się dokładnie zgadzać.

  • equalsIgnoreCase: Wartości muszą się dokładnie zgadzać, ale wielkość liter jest ignorowana..

  • contains: Wartość docelowa musi zawierać określone dopasowanie jako substring.

  • containsWord: Wartość docelowa musi zawierać dokładnie to słowo (jako całość), które jest dopasowywane.

  • containsWordIgnoreCase: To samo co containsWord, ale wielkość liter jest ignorowana.

  • regExp: Dopasowanie odbywa się za pomocą wyrażenia regularnego (system dopasowywania oparty na wzorcach).

  • indicator: Dopasowanie odbywa się na podstawie wskaźników (tylko dla konektorów IDM)

Modyfikacja konektorów

Konektory można zmieniać, usuwać i nie tylko:

  1. Przejdź do Autentykacja > Konektory.

  2. Wyszukaj konektor, który chcesz zmodyfikować.

Następnie wybierz jedną z następujących akcji:

  • Edycja konektora: Najedź kursorem na konektor, kliknij Więcej, a następnie wybierz   Edytuj. Teraz możesz skonfigurować konektor.

  • Zmiana nazwy lub usunięcie konektora: Najedź kursorem na konektor, kliknij Więcej, a następnie wybierz pozycję Zmień nazwę lub Usuń.

  • Zwiększanie lub zmniejszanie pierwszeństwa: Jeśli włączonych jest wiele konektorów, można dostosować kolejność, w jakiej powinny być one sprawdzane w celu obsługi żądania uwierzytelnienia. Użyj uchwytu przeciągania (), aby przeciągnąć konektor do nowej pozycji. Możesz też najechać kursorem na łącznik, kliknąć Więcej, a następnie wybrać opcję Zwiększ pierwszeństwo lub Zmniejsz pierwszeństwo.

  • Włączanie lub wyłączanie konektora: Najedź kursorem na konektor, kliknij Więcej, a następnie wybierz Włącz konektor lub Wyłącz konektor. Ta opcja jest przydatna, jeśli chcesz tymczasowo wyłączyć konektor zamiast trwale go usuwać.

  • Klonowanie łącznika: Umieść kursor na łączniku, kliknij pozycję Więcej, a następnie wybierz pozycję Klonuj. Wprowadź nazwę nowego łącznika, aby kontynuować. Zostanie utworzona dokładna kopia łącznika, w tym wszystkie ustawienia konfiguracji. Pliki certyfikatów skojarzone z oryginalnym łącznikiem również zostaną zduplikowane w tle.

  • Konfiguracja IdP: Dostępne tylko dla konektorów SAML. Najedź kursorem na konektor, kliknij Więcej, a następnie wybierz pozycję Konfiguruj IdP. Ta opcja umożliwia przesłanie pliku XML metadanych lub podanie adresu URL metadanych. Metadane zawierają wszystkie informacje niezbędne do korzystania przez system ADONIS z tokenów wydanych przez IdP. Po przesłaniu automatycznie wypełniane są następujące właściwości konektora SAML: Typ powiązania, adres IDP i klucz publiczny IDP.

LDAP

Strona LDAP umożliwia konfigurację ogólnych ustawień LDAP i parametrów specyficznych dla domeny. Składa się ona z dwóch paneli:

  • Domeny LDAP: Okienko po lewej stronie LDAP umożliwia dodawanie domen używanych do uwierzytelniania i pobierania danych użytkownika oraz zarządzanie nimi. W tym miejscu znajduje się lista wszystkich skonfigurowanych domen.

  • Ustawienia LDAP: W prawym okienku strony LDAP można ustawić ogólne parametry, które mają zastosowanie do wszystkich domen.

Dodawanie domeny

Aby dodać nową domenę w ADONIS Administration:

  1. Przejdź do Autentykacja > LDAP.

  2. W lewym okienku w obszarze Domeny LDAP kliknij Utwórz.

Po dodaniu domeny możesz od razu rozpocząć pracę nad konfiguracją. Następnie wykonaj te trzy kroki:

  1. Ogólne

  2. Mapowanie użytkowników

  3. Harmonogram

Ogólne

Pierwsza strona konfiguracji domeny umożliwia zdefiniowanie ogólnych ustawień, takich jak nazwa domeny, adres URL dostawcy, dane głównego użytkownika i inne. Dostępne są następujące opcje:

  • Pierwszeństwo: Kolejność, w jakiej domeny są sprawdzane podczas żądania uwierzytelnienia.

  • Nazwa: Identyfikator tej domeny. Ta wartość musi być unikatowa wśród domen. Dodatkowo ta nazwa pojawi się w logach.

  • Adres URL dostawcy: Określa adres URL serwera katalogu LDAP. Wartość ta ma postać ldap://host:port. Należy pamiętać, że zaleca się używanie adresów IP zamiast nazw domen, aby uniknąć wyszukiwania DNS.

  • Protokół bezpieczeństwa: W przypadku korzystania z LDAPS należy włączyć protokół SSL i przesłać certyfikat SSL (X509). LDAP jest skonfigurowany tak, aby wymagał certyfikatu uwierzytelniającego klienta oprócz certyfikatu uwierzytelniającego serwera lub aby przygotować się do wymiany certyfikatu bez przestoju.

  • Principal: Nazwa logowania głównego użytkownika używana do wyszukiwania wszystkich innych użytkowników. Ten użytkownik MUSI mieć dostęp do odczytu do wszystkich części usługi katalogowej, które są używane w systemie ADONIS.

  • Principal domain: Domena głównego użytkownika.

  • Principal format: To pole określa sposób tworzenia nazwy użytkownika i domeny podmiotu w celu uwierzytelnienia w katalogu. Znaki zastępcze (%principal%, %principaldomain%) są używane do reprezentowania nazwy logowania i domeny, a ich układ zależy od używanej usługi katalogowej. Na przykład w usłudze Microsoft Active Directory typowy format to %principal%@%principaldomain%, podczas gdy dla IBM Tivoli jest to cn=%principal%,%principaldomain% (gdzie principaldomain ma określoną strukturę, n.p., "o=domain.com").

  • Hasło: Hasło głównego użytkownika. Będzie przechowywane w postaci zaszyfrowanej.

  • Limit czasu połączenia: Maksymalny dozwolony czas nawiązywania połączenia z katalogiem podczas uwierzytelniania i innych żądań związanych z LDAP. Wartość domyślna, jeśli nie jest ustawiona, to 5000 milisekund (5 sekund)

  • Unikalny identyfikator: wybierz usługę, która ma służyć jako unikalny identyfikator do użytku wewnętrznego. Jeśli żadna określona właściwość LDAP nie jest w stanie jednoznacznie odróżnić obiektów katalogu, użyj NAME_IN_NAMESPACE. Możesz wybrać wiele właściwości, aby obsłużyć przypadki, w których różni użytkownicy mogą używać różnych właściwości (np. różnice w dużych/małych literach). System ADONIS będzie kolejno próbował każdej właściwości dla każdego użytkownika, używając pierwszej pasującej jako unikalnego identyfikatora.

  • Login base DN: login base DN (Wyróżniająca się nazwa) określa punkt początkowy w strukturze katalogów, od którego serwer LDAP rozpoczyna wyszukiwanie obiektów użytkownika podczas procesu uwierzytelniania. Definiuje domenę podstawową w katalogu LDAP, w którym znajdują się użytkownicy. Wartość domyślna to DC=firma,DC=com, która odpowiada katalogowi głównemu domeny company.com. Zastąp nazwę firmy rzeczywistą nazwą firmy lub domeną, a com odpowiednią domeną najwyższego poziomu (TLD) dla Twojej organizacji.

  • Filtr logowania: Ta obowiązkowa opcja filtru obejmuje symbol zastępczy nazwy użytkownika, używany do precyzyjnego identyfikowania odpowiedniego obiektu użytkownika w katalogu LDAP. Domyślna konfiguracja (&( objectClass=user)(sAMAccountName=%username%)) jest zazwyczaj wystarczająca i zwykle nie wymaga modyfikacji. Gdy użytkownik próbuje się zalogować, ADONIS automatycznie zamienia %username% na wprowadzoną nazwę użytkownika. Następnie filtr przeszukuje katalog LDAP w poszukiwaniu obiektu użytkownika z atrybutem sAMAccountName pasującym do podanej nazwy użytkownika. Jeśli zostanie znaleziony odpowiedni wpis, system ADONIS potwierdzi, że ​​dane logowania należą do prawidłowego użytkownika w katalogu. Aby uzyskać więcej informacji na temat dozwolonych typów filtrów i operatorów logicznych, zapoznaj się z tekstem informacyjnym powiązanym z tym ustawieniem.

  • Filtr synchronizacji: Ta opcja definiuje filtr używany podczas zadań synchronizacji. Jest on zgodny z tymi samymi zasadami i opcjami, co Filtr logowania. Filtr synchronizacji działa jako mechanizm rezerwowy dla zadań synchronizacji, które nie określają parametru Filter. Jeśli zadanie synchronizacji jest skonfigurowane bez parametru Filter i nie zdefiniowano filtru synchronizacji, do tego zadania synchronizacji zostanie zastosowany filtr domyślny (objectClass=user).

  • Sync base DN: Ten parametr określa bazową nazwę wyróżniającą (DN), od której powinny rozpoczynać się zadania synchronizacji. Służy jako rezerwowy dla zadań synchronizacji, które nie mają zdefiniowanego parametru Start Node. Jeśli nie określono ani Sync Base DN, ani Start Node, wartość parametru Login Base DN w konfiguracji domeny będzie używana jako domyślny punkt początkowy dla tego zadania synchronizacji.

  • Login scope: Ta właściwość określa zakres wyszukiwania w katalogu. Określa on, jak szeroko zostanie przeprowadzone wyszukiwanie. Dostępne opcje to:

    • Poddrzewo: (domyślnie) Przeszukuje całe poddrzewo, zaczynając od katalogu głównego lub określonego węzła początkowego.

    • Jeden: Przeszukuje bieżący węzeł i jeden dodatkowy poziom pod nim.

    • Obiekt: Przeszukuje tylko bieżący obiekt. Ta opcja generalnie nie jest zalecana.

  • Paged result Control OIDs: Określa identyfikator obiektu (OID) dla kontrolki usługi katalogowej używanej do określenia, czy usługa katalogowa obsługuje wyniki stronicowane.

  • Rozmiar strony: Określa liczbę wpisów na stronę, gdy wyniki stronicowane są obsługiwane przez usługę katalogową. To ustawienie określa maksymalną liczbę wyników zwracanych na każdej stronie wyników wyszukiwania.

  • Łącznik domyślny: Określ łącznik rezerwowy ze sprzężeniem LDAP do obsługi mapowania użytkowników w przypadkach, gdy nie jest włączone ani mapowanie użytkowników specyficzne dla łącznika, ani mapowanie użytkowników specyficzne dla domeny.

  • Ignore missing ObjectSID: Określa, czy ignorować brakujące wartości objectSid dla użytkowników LDAP. Domyślnie obiekty LDAP są identyfikowane przez ich unikalny identyfikator LDAP ID, pobierany za pomocą atrybutu objectSid. Jeśli nie można pobrać tego identyfikatora dla użytkownika LDAP, jego właściwości LDAP zostaną pominięte, co oznacza, że jego rola, grupa i inne przypisania zgodnie z mapowaniem użytkownika nie zostaną zastosowane. Dotyczy to zarówno akcji logowania, jak i synchronizacji. Jeśli ta opcja jest włączona, wszelkie brakujące wartości objectSid będą ignorowane, dane użytkownika będą nadal pobierane, ale użytkownik nie będzie miał unikalnego identyfikatora LDAP we właściwościach, co może prowadzić do problemów, takich jak niemożność zalogowania się do ADONIS Administration. Jeśli ten parametr jest wyłączony, brakujące wartości objectSid nie będą ignorowane, a dane użytkownika LDAP dla takich użytkowników zostaną pominięte.

  • Referral: Konfiguruje sposób odesłań z usługi katalogowej. Jeśli nie zostanie określony, zostanie użyte domyślne zachowanie usługi katalogowej.

    • ignoruj: Nie śledzi odesłań; odesłania będą ignorowane.

    • follow: Automatycznie śledzi i rozwiązuje odwołania.

    • throw: Rzuca wyjątek w przypadku napotkania odwołania.

Mapowanie użytkowników

Druga strona konfiguracji domeny umożliwia skonfigurowanie mapowania użytkowników bezpośrednio na poziomie domeny. To mapowanie użytkownika zostanie zastosowane w przypadkach, gdy użytkownicy logują się za pośrednictwem łącznika, który nie określa własnego mapowania użytkownika.

Istnieje jedno ustawienie, które jest specyficzne dla konfiguracji domeny:

  • Włączanie/wyłączanie mapowania użytkowników specyficznych dla domeny

    • Włączone: użyj tego ustawienia, aby zdecydować, czy ma zostać zastosowane mapowanie użytkowników specyficzne dla domeny. Należy pamiętać, że to mapowanie jest używane tylko wtedy, gdy mapowanie specyficzne dla łącznika jest wyłączone. Jeśli łącznik ma włączone mapowanie użytkowników, będzie miał priorytet.

Pozostałe ustawienia na tej stronie są identyczne z tymi, które znajdują się w konfiguracji łącznika. Szczegółowe instrukcje dotyczące tych ustawień można znaleźć w sekcji Mapowanie użytkownika w dokumentacji konfiguracji łącznika.

Harmonogram

Trzecia strona konfiguracji domeny pozwala zautomatyzować synchronizację użytkowników z LDAP poprzez ustawienie harmonogramu dla określonej domeny.

Wskazówka

Można również skonfigurować synchronizację dla wszystkich domen jednocześnie w sekcji ogólne ustawienia LDAP. Proces konfiguracji jest taki sam zarówno dla harmonogramów specyficznych dla domeny, jak i globalnych.

Dostępne są następujące opcje:

  • Nazwa: nazwa, która ma być używana dla tego zadania (tylko w celu śledzenia w plikach dziennika).

  • Filtr: opcjonalny filtr służący do zawężania wyników wyszukiwania. Jeśli dla zadania synchronizacji nie zostanie podany żaden określony filtr, wartość z ustawienia Filtr synchronizacji w konfiguracji domeny zostanie użyta jako rezerwa. Jeśli ani określony filtr, ani filtr awaryjny nie zostaną ustawione, zostanie zastosowany domyślny filtr (objectClass=user).

  • Węzeł początkowy: Określa węzeł w strukturze drzewa usługi katalogowej, który powinien być używany jako punkt początkowy wyszukiwania użytkowników. Parametr Sync base DN jest używany jako rezerwowy, gdy dla zadania synchronizacji nie zdefiniowano węzła początkowego. Jeśli nie zdefiniowano ani Sync base DN, ani węzła początkowego, parametr >Login base DN jest używany jako rezerwowy.

  • Rozpocznij o: Opcjonalna data rozpoczęcia wskazująca, kiedy harmonogram powinien stać się aktywny. Domyślnie harmonogram jest aktywny natychmiast.

  • Zakończ o: Opcjonalna data końcowa określająca, kiedy harmonogram powinien stać się nieaktywny. Po tej dacie harmonogram nie będzie już aktywny.

  • Typ: Wybierz jednostkę czasu dla harmonogramu synchronizacji. Dostępne opcje to sekundowa, minutowa, godzinowa, dzienna, tygodniowa, miesięczna lub roczna.

  • Interwał: Zdefiniuj częstotliwość zadania synchronizacji dla harmonogramów opartych na sekundach, minutach, godzinach lub latach. Wybierz co ile jednostek czasu systen ADONIS wykonuje zadanie.

  • Dzień miesiąca: Określ dzień miesiąca, w którym zadanie powinno być uruchamiane dla harmonogramów miesięcznych.

  • Dni tygodnia: wybierz dni, w których zadanie powinno być uruchamiane dla harmonogramów dziennych i tygodniowych w następujący sposób:

    • Dni: zadanie jest domyślnie uruchamiane codziennie, ale opcjonalnie można je ograniczyć do określonych dni tygodnia.

    • Tygodnie: zadanie jest uruchamiane raz w tygodniu w wybranym dniu.

  • Czas wykonywania: Określ dokładną godzinę i minutę, od której zadanie powinno się rozpocząć dla harmonogramów dziennych, tygodniowych i miesięcznych.

Dostosowywanie domen

Domeny można edytować, usuwać i wykonywać inne czynności:

  1. Przejdź do Autentykacja > LDAP.

  2. W lewym okienku w obszarze Domeny LDAP) znajdź domenę, którą chcesz zmienić.

Następnie wybierz jedną z następujących akcji:

  • Edycja domeny: Najedź kursorem na domenę, kliknij Więcej, a następnie wybierz Edytuj. Teraz możesz skonfigurować domenę.

  • Usuwanie domeny: Najedź kursorem na domenę, kliknij Więcej, a następnie wybierz Usuń.

  • Zwiększanie lub zmniejszanie pierwszeństwa: Jeśli włączonych jest wiele domen, można dostosować kolejność, w jakiej powinny być one sprawdzane w celu obsługi żądania uwierzytelnienia. Użyj uchwytu przeciągania (), aby przeciągnąć domenę na nową pozycję. Możesz też najechać kursorem na domenę, kliknąć Więcej, a następnie wybrać opcję Zwiększ pierwszeństwo lub Zmniejsz pierwszeństwo.

Konfiguracja ustawień LDAP

Aby zmodyfikować ogólne ustawienia LDAP, które mają zastosowanie do wszystkich domen:

  1. Przejdź do Autentykacja > LDAP.

  2. W prawym okienku w obszarze Ustawienia LDAP dostosuj ustawienia w sekcjach Ogólne, Środowisko, Właściwości i Harmonogram.

Dostępne są następujące opcje:

  • Ogólne

    • Włączone: Włączenie lub wyłączenie globalnego mechanizmu LDAP. Parowanie LDAP dla konektora będzie działać tylko wtedy, gdy to ustawienie jest włączone.

    • Zezwalaj na działanie klienta: określa, czy połączenia LDAP inicjowane po stronie klienta są dozwolone. To ustawienie kontroluje, czy następujące działania mogą być wyzwalane ręcznie w ADONIS Administration (patrz Serwer po więcej informacji):

      • Rozpocznij synchronizację LDAP

      • Wyczyść pamięć podręczną LDAP

    • Domena domyślna: Określ domenę, która ma być używana do uwierzytelniania i wysyłania zapytań dotyczących danych użytkownika, gdy nie określono żadnej innej domeny.

    • Tryb uwierzytelniania: Opcjonalne ustawienie, które określa poziom zabezpieczeń uwierzytelniania. Możliwe wartości to "none", "simple" lub "strong". Jeśli ta opcja nie zostanie określona, zachowanie będzie określane przez domyślne ustawienia dostawcy usługi katalogowej.

    • Context factory: Określa nazwę głównej klasy odpowiedzialnej za implementację LDAP. Jeśli używasz implementacji LDAP od JavaSoft, wartość powinna być ustawiona na com.sun.jndi.ldap.LdapCtxFactory. Dostosuj to ustawienie tylko wtedy, gdy jest to konieczne dla konkretnej konfiguracji LDAP.

    • Prefiksy pakietów URL: Ta właściwość definiuje listę prefiksów pakietów, które mają być używane podczas ładowania fabryk kontekstu URL. Wartość powinna być rozdzieloną dwukropkami listą prefiksów pakietów dla nazwy klasy fabryki, która utworzy fabrykę kontekstu URL. Dostosuj to ustawienie tylko wtedy, gdy jest to konieczne dla konkretnej konfiguracji LDAP.

  • Środowisko: Lista dodatkowych właściwości używanych podczas tworzenia początkowego kontekstu LDAP. Te właściwości ułatwiają dostosowywanie środowiska LDAP i ustawień połączenia. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją javax.naming.Context. Dostosuj to ustawienie tylko wtedy, gdy jest to konieczne dla konkretnej konfiguracji LDAP.

  • Właściwości: Te właściwości definiują podstawowy zestaw atrybutów, które będą pobierane za pośrednictwem protokołu LDAP. Jeśli Parowanie LDAP jest włączone, mogą zostać pobrane dodatkowe właściwości LDAP specyficzne dla konektora. Wszystkie właściwości, które powinny być używane w konfiguracjach domeny do ustawiania mapowania użytkownika bezpośrednio na poziomie domeny, muszą być zawarte na tej liście.

  • Harmonogram: Konfiguracja automatycznej synchronizacji użytkowników z LDAP dla wszystkich domen jednocześnie.

Wskazówka

Synchronizację dla określonej domeny można również skonfigurować bezpośrednio w konfiguracji domeny. Proces konfiguracji jest taki sam zarówno dla harmonogramów specyficznych dla domeny, jak i globalnych. Szczegółowe informacje na temat dostępnych ustawień można znaleźć w sekcji Harmonogram w dokumentacji konfiguracji domeny.

SAML

Wskazówka

W tej sekcji opisano globalne parametry konfiguracyjne dla konektorów SAML

Szczegółowe instrukcje dotyczące konfiguracji uwierzytelniania opartego na protokole SAML w systemie ADONIS, znajdują się w przewodniku ADONIS SAML .

Strona SAML umożliwia skonfigurowanie różnych parametrów w celu włączenia uwierzytelniania SAML. Ustawienia te definiują sposób interakcji systemu ADONIS z dostawcą tożsamości SAML (IdP).

Dostępne są następujące opcje:

  • Identyfikator konfiguracji: Wprowadź unikatowy identyfikator, który system ADONIS będzie używał do identyfikacji przed IdP. Ta wartość musi być zgodna z identyfikatorem skonfigurowanym po stronie IdP dla usługi ADONIS. Na przykład dla Microsoft Entra ID musi być równy Identifier (Entity ID).

  • Adres URL konsumenta asercji: określ domyślny adres URL, w którym system ADONIS będzie oczekiwać otrzymania tokenu uwierzytelniania od dostawcy tożsamości. Ten adres URL zostanie zastosowany w przypadkach, gdy użytkownicy logują się za pośrednictwem łącznika, który nie udostępnia określonego adresu URL konsumenta asercji.

    Powinien składać się z adresu URL HTTPS ADONIS oraz sufiksu "/auth.view", np. "https://< SERVER_NAME>:< TOMCAT_PORT>/ADONIS17_1/auth.view". Ta wartość musi być zgodna z adresem URL odpowiedzi skonfigurowanym po stronie dostawcy tożsamości. Na przykład w przypadku identyfikatora Microsoft Entra musi on być równy adresowi URL odpowiedzi (adres URL usługi klienta asercji).

    • Włączone: Włącz tę opcję, aby zezwolić na ustawienie domyślnego adresu URL konsumenta potwierdzenia.

    • URL: wprowadź domyślny adres URL konsumenta potwierdzenia.

Wskazówka

Jeśli na stronie SAML nie jest włączony żaden domyślny adres URL konsumenta asercji i nie jest włączony żaden konkretny adres URL konsumenta asercji na poziomie łącznika, zamiast niego zostanie użyty podstawowy adres URL.

  • Token signing: Konfiguracja ustawień podpisywania tokenów SAML, co zapewnia integralność i autentyczność danych wymienianych między usługą ADONIS a dostawcą tożsamości (IdP).

    Aby włączyć podpisywanie tokenów w systemie ADONIS, wymagany jest certyfikat SSL dla dostawcy usług (SP). W tym celu można wygenerować certyfikat z podpisem własnym za pomocą narzędzia Java keytool.

    • Keystore alias: Wprowadź alias określony w pliku KeyStore dla certyfikatu tokensigning SP.

    • Keystore file: Kliknij Przeglądaj, aby przesłać plik KeyStore zawierający certyfikat tokensigning SP.

    • Keystore password: Wprowadź hasło dostępu do magazynu kluczy. Będzie przechowywane w postaci zaszyfrowanej.

  • Assertion decryption: Jeśli IdP został skonfigurowany do szyfrowania asercji w celu zwiększenia bezpieczeństwa, można skonfigurować ustawienia odszyfrowywania asercji SAML w systemie ADONIS.

    Aby włączyć deszyfrowanie asercji w systemie ADONIS, wymagany jest certyfikat SSL dla dostawcy usług (SP). Ten certyfikat może być taki sam jak certyfikat podpisywania tokenów SP.

    • Włączone: Włącz tę opcję, aby zezwolić systemowi ADONIS na odszyfrowywanie zaszyfrowanych asercji przychodzących od IdP.

    • Keystore alias: Wprowadź alias określony w pliku KeyStore dla certyfikatu deszyfrowania asercji SP.

    • Keystore file: Kliknij Przeglądaj, aby przesłać plik KeyStore zawierający certyfikat deszyfrowania asercji SP.

    • Keystore password: Wprowadź hasło dostępu do magazynu kluczy. Będzie przechowywane w postaci zaszyfrowanej.

JWT

Strona JWT umożliwia skonfigurowanie uwierzytelniania JWT dla żądań REST.

Wskazówka

Sposób konfiguracji ustawień na stronie JWT został opisany w dokumentacji REST API oraz dokumentacji SCIM API.

OAuth 2.0

Strona OAuth 2.0 umożliwia skonfigurowanie uwierzytelniania OAuth 2.0 dla żądań REST.

Wskazówka

Sposób konfiguracji ustawień na stronie   OAuth 2.0 został opisany w dokumentacji REST API oraz w dokumentacji SCIM API.

OIDC

Strona OIDC umożliwia włączenie i skonfigurowanie systemu ADONIS jako Dostawcy OpenID. W tej roli, system ADONIS może uwierzytelniać użytkowników dla aplikacji zewnętrznych (klientów OIDC), umożliwiając im logowanie się przy użyciu danych uwierzytelniających ADONIS podobnie jak w przypadku logowania się za pomocą Google lub GitHub na innych stronach internetowych.

Ta konfiguracja obsługuje scenariusze pojedynczego logowania (SSO), umożliwiając użytkownikom dostęp do usług stron trzecich przy użyciu istniejącego konta ADONIS. Administratorzy mogą skonfigurować zaufane aplikacje klienckie, aby włączyć tę funkcję.

Wskazówka

Ta funkcja różni się od konfiguracji konektorów OIDC , które umożliwiają użytkownikom uwierzytelnianie się w systemie ADONIS pośrednictwem zewnętrznego OP.

Dostępne są następujące opcje:

Włączenie systemu ADONIS jako dostawcy OpenID

Domyślnie funkcja korzystania z systemu ADONIS jako dostawcy OpenID jest wyłączona. Po włączeniu system ADONIS może pełnić rolę dostawcy tożsamości w przepływie OpenID Connect (OIDC), umożliwiając aplikacjom zewnętrznym uwierzytelnianie użytkowników na podstawie ich poświadczeń ADONIS. Aby włączyć tę funkcję:

  • Wybierz Włączone.
Dodawanie i konfigurowanie klienta

Aby dodać nową aplikację kliencką, która powinna mieć możliwość uwierzytelniania użytkowników za pośrednictwem systemu ADONIS:

  • Kliknij Utwórz. Zostanie wyświetlone okno Klient.

Dostosuj następujące parametry:

  • Typ: Wybierz typ klienta. Confidential clients are, for example, server-based applications capable of securely storing secrets. Public clients include native apps or browser-based apps which cannot securely store secrets.

  • ID: The unique identifier for the client application. Should be kept simple, as special characters must be URL encoded.

  • Name: The display name of the client application. This name may be shown to users during login.

  • Redirect URI: The redirect endpoint of the client application. This is where ADONIS will send the user after successful authentication, along with the authorization code.

  • Logo: Optionally upload a logo to visually represent the client application in the user interface.

  • Access token validity (seconds): The duration in seconds for which an access token remains valid. Default: 1800 seconds (30 minutes).

  • Refresh token validity (seconds): The duration in seconds for which a refresh token remains valid. Default: 1209600 seconds (14 days).

  • ID token validity (seconds): The duration in seconds for which an ID token remains valid. Default: 36000 seconds (10 hours).

  • Secret: The client secret used for authentication. You can manually enter a value or click Generate to create a new one automatically.

Wróć do strony OIDC i kliknij Zapisz. Skonfigurowany klient jest teraz gotowy do użycia przez zewnętrzne aplikacje do uwierzytelniania użytkowników za pośrednictwem systemu ADONIS.

Więcej narzędzi

Strona Uwierzytelnianie zawiera narzędzia, które umożliwiają konfigurowanie ostrzeżeń dotyczących licencji, ustawień zabezpieczeń i ogólnych ustawień uwierzytelniania:

Ostrzeżenia dotyczące licencji

Aby skonfigurować ostrzeżenia dotyczące licencji - automatyczne powiadomienia e-mail, gdy większość dostępnych nazwanych użytkowników jest już przypisana do określonego scenariusza i należy podjąć działania w celu przedłużenia licencji:

  • Przejdź do Autentykacja > Więcej opcji, a natępnie kliknij Ostrzeżenia dotyczące licencji.

Dostosuj następujące parametry i zapisz zmiany później:

  • Adres e-mail odbiorcy powiadomienia: Wprowadź adres e-mail, na który mają być wysyłane powiadomienia.

  • Próg powiadomienia: Określa próg powiadomień Wprowadź procent nazwanych użytkowników już przypisanych do określonego scenariusza, którego przekroczenie powoduje uruchomienie ostrzeżenia o licencji.

  • Powiadomienie o przekroczeniu progu: Określa, czy powiadomienie jest wysyłane, gdy liczba nazwanych użytkowników dla scenariusza przekroczy skonfigurowany próg.

  • Powiadamiaj o przywróceniu wartości progowej: Określa, czy powiadomienie jest wysyłane, gdy liczba nazwanych użytkowników dla scenariusza spadnie poniżej skonfigurowanego progu.

Dostępność

Ta funkcja jest dostępna, jeśli komponent poczty został skonfigurowany.

Wskazówka

Szczegółowe informacje na temat konfiguracji komponentu poczty można znaleźć w sekcji Poczta e-mail.

Ustawienia bezpieczeństwa

Aby zmodyfikować ustawienia zabezpieczeń uwierzytelniania:

  1. Przejdź do Autentykacja > Więcej opcji, a następnie kliknij Security Settings.

  2. Dostosuj ustawienia w sekcjach Ogólne, Brute Force, Ponowne uwierzytelnianie, REST, SCIM i Ograniczenia adresów IP portalu organizacji.

Dostępne są następujące opcje:

  • Ogólne

    • Zezwalaj na mechanizm CORS: Włącz tę opcję, aby zezwolić na żądania uwierzytelniania OAuth 2.0 z modułu ADONIS Process Manager for Confluence.

    • Ograniczenia IP strony administratora: Określ adresy IP, które będą mogły uzyskać dostęp do ADONIS Administration (patrz Konfiguracja ograniczeń adresów IP).

  • Brute Force: Skonfiguruj opcję brute force protection dla regularnych prób logowania do systemu ADONIS przez użytkowników (patrz Konfiguracja Brute Force Protection).

  • Ponowne uwierzytelnianie

    • Włączone: Włącz tę opcję, aby zezwolić na ponowne uwierzytelnianie. Ponowne uwierzytelnianie można dostosować w celu ochrony niektórych krytycznych działań biznesowych w systemie ADONIS.

    • Brute Force: Skonfiguruj opcję brute force protection dla prób ponownego uwierzytelnienia (patrz Konfiguracja Brute Force Protection).

  • REST

    • Zezwalaj na mechanizm CORS: Włącz tę opcję, aby zezwolić na żądania uwierzytelniania modułu ADONIS Process Manager for Confluence .

    • Brute Force: Skonfiguruj opcję brute force protection dla prób logowania za pośrednictwem interfejsu ADONIS REST API (patrz Konfiguracja Brute Force Protection).

    • Basicauth IP Restrictions: Określa adresy IP, które będą mogły wysyłać żądania z podstawowym uwierzytelnianiem do ADONIS REST API (patrz Konfiguracja ograniczeń IP).

    • Podstawowe role uwierzytelniania: Opcjonalnie wybierz role systemowe, których użytkownik musi mieć co najmniej jedną, aby móc korzystać z Interfejsu REST API z uwierzytelnianiem podstawowym systemu ADONIS. Jeśli nie zostanie wybrana żadna rola systemowa, wszystkie role systemowe będą zezwalać na dostęp do interfejsu API.

  • SCIM:

    • Ograniczenia IP Basicauth: Określ adresy IP, które będą mogły wysyłać żądania z podstawowym uwierzytelnianiem do interfejsu API SCIM (patrz Konfiguracja ograniczeń IP).

    • Podstawowe role uwierzytelniania: Opcjonalnie wybierz role systemowe, z których użytkownik musi posiadać przynajmniej jedną, aby móc korzystać z interfejsu API SCIM z podstawowym uwierzytelnianiem. Jeśli nie zostanie wybrana żadna rola systemowa, wszystkie role systemowe będą zezwalać na dostęp do interfejsu API.

  • Org Portal IP Restrictions: Określ adresy IP, które mają mieć dostęp do Portalu organizacji (patrz Konfiguracja ograniczeń IP).

Konfiguracja Brute Force Protection

ADONIS posiada mechanizm zapobiegający próbom uzyskania dostępu do danych logowania metodą brute force. Po określonej liczbie nieudanych prób logowania dostęp do systemu ADONIS zostaje zablokowany, a użytkownikowi wyświetlany jest komunikat. Aby dostosować ustawienia ochrony dla metody brute force:

Możesz skonfigurowac ustawienia brute force na następujących poziomach:

  • Atak siłowy (brute force): Ustawienia dotyczące regularnych prób logowania użytkowników do systemu ADONIS.

  • Ponowna autoryzacja: Ustawienia dotyczące prób ponownego uwierzytelniania. Ponowne uwierzytelnianie można dostosować w celu ochrony niektórych krytycznych działań biznesowych w systemie ADONIS.

  • REST: Ustawienia dotyczące prób logowania za pośrednictwem interfejsu API REST, który umożliwia uwierzytelniony dostęp do funkcji udostępnionych w systemie ADONIS.

Dostosuj następujące parametry i zapisz zmiany później:

  • Czas uśpienia przy maksymalnej liczbie prób na IP: Czas (w milisekundach), przez który próby logowania są blokowane dla adresu IP po określonej liczbie nieudanych prób logowania. Wartość domyślna to 60 000 milisekund (= 1 minuta).

  • Czas uśpienia przy maksymalnej liczbie prób ogólnie: Czas (w milisekundach), przez który próby logowania są blokowane dla wszystkich użytkowników po określonej liczbie nieudanych prób logowania. Wartość domyślna to 30 000 milisekund (= 30 sekund).

  • Próg czyszczenia użytkownika: Ramy czasowe (w milisekundach), w których rejestrowane są nieudane próby wprowadzenia nazwy użytkownika. Wartość domyślna wynosi 600 000 milisekund (= 10 minut).

  • Próg czyszczenia IP: Ramy czasowe (w milisekundach), w których rejestrowane są nieudane próby uzyskania dostępu do adresu IP. Wartość domyślna wynosi 10 800 000 milisekund (= 3 godziny).

  • Okres czyszczenia: Ramy czasowe (w milisekundach), w których uwzględniane są nieudane próby wszystkich użytkowników. Wartość domyślna to 60 000 milisekund (= 1 minuta).

  • Maksymalna liczba prób na IP: Maksymalna liczba nieudanych prób logowania przed zablokowaniem adresu IP na określony czas. Wartość domyślna to 75 razy.

  • Maksymalna liczba prób na nazwę użytkownika: Maksymalna liczba nieudanych prób logowania, po których nazwa użytkownika zostaje zablokowana na 10 minut. Wartość domyślna to 15 razy.

  • Maksymalna liczba prób ogólnie: Maksymalna liczba nieudanych prób logowania, po której wszyscy użytkownicy zostaną zablokowani na określony czas. Wartość domyślna to 150 razy.

Przykład

Jeśli w ciągu 3 godzin [Próg czyszczenia IP] nastąpi 75 nieudanych prób logowania z adresu IP [Maksymalna liczba prób na IP], użytkownicy korzystający z tego adresu IP muszą odczekać minutę [Czas uśpienia przy maksymalnej liczbie prób na IP].

Konfiguracja ograniczeń adresów IP

W tej sekcji wyjaśniono, jak skonfigurować ograniczenia adresów IP na następujących poziomach:

  • Ograniczenia adresu IP strony administratora: Kontroluj, które adresy IP mogą mieć dostęp do ADONIS Administration.

  • Restrykcje Basicauth IP   : Kontroluj, które adresy IP mogą wysyłać żądania z podstawowym uwierzytelnianiem do ADONIS REST API lub SCIM API.

  • Ograniczenia IP portalu organizacji: Kontroluj, które adresy IP mają dostęp do Portalu organizacji

Konfiguracja

Aby skonfigurować ograniczenie adresu IP:

  1. Kliknij Dodaj ograniczenie adresu IP, aby utworzyć nową regułę adresu IP.

  2. W sekcji Tryb, wybierz Zezwalaj lub Odmów, aby określić, czy reguła będzie zezwalać na dostęp, czy go blokować.

  3. W obszarze Zastosuj do, wybierz Wszystkie, aby zastosować regułę do wszystkich adresów IP lub wybierz opcję Niestandardowy adres IP, aby zdefiniować określone adresy IP lub zakresy. Wybierając opcję Niestandardowy adres IP, możesz wprowadzić pojedynczy adres IP (np. 192.168.1.1) lub użyć formatu wieloznacznego (np. 192.168.*), aby objąć szerszy zakres adresów.

Jak działają ograniczenia dotyczące adresów IP

Podczas konfigurowania ograniczeń IP należy pamiętać o następujących kwestiach:

  • Jeśli istnieją ograniczenia adresów IP, ale nie zostanie znaleziona pasująca reguła, domyślną akcją jest "odmów".

  • Jeśli nie ustawiono żadnych ograniczeń dotyczących adresów IP, domyślne zachowanie zależy od funkcji:

    • Ograniczenia adresu IP strony administratora: Wartość domyślna to "zezwalaj"

    • Ograniczenia adresu IP uwierzytelniania podstawowego: Wartość domyślna to "odmów"

    • Ograniczenia adresów IP Portalu organizacji: wartość domyślna to "zezwalaj"

  • Decyduje pierwsza pasująca reguła. Załóżmy, że dodasz następujące ograniczenia adresów IP:

    • Tryb: Zezwalaj, Zastosuj do: 192.*

    • Tryb: Odmów, Zastosuj do: 192.168.0.1

    W takim przypadku reguła "odmów" nie będzie miała żadnego zastosowania, ponieważ reguła "zezwalaj" ma już zastosowanie do adresu 192.168.0.1.

Przykład

Aby zablokować wszystkie adresy IP rozpoczynające się od 192., odrzuć adres IP 193.168.0.1 i zezwól na wszystkie inne adresy IP:

Tryb: Odmów, Zastosuj do: 192.*

Tryb: Odmów, Zastosuj do: 193.168.0.1

Tryb: Zezwalaj, Zastosuj do: Wszystkie

Aby zezwolić na wszystkie adresy IP zaczynające się od 178. z wyjątkiem 178.6.6.6 i odmówić wszystkich innych adresów IP:

Tryb: Odmów, Zastosuj do: 178.6.6.6

Tryb: Zezwalaj, Zastosuj do: 178.*

Tryb: Odmów, Zastosuj do: Wszystkie

Przywracanie dostępu do ADONIS Administration

Jeśli przypadkowo zablokowałeś sobie i wszystkim użytkownikom dostęp do ADONIS Administration z powodu restrykcyjnych ograniczeń IP, możesz odzyskać dostęp, modyfikując plik konfiguracyjny:

  1. Przejdź do katalogu <Tomcat>/webapps/ADONIS17_1.

  2. Otwórz plik adoxx_web.properties w edytorze tekstowym z uprawnieniami administratora.

  3. Znajdź parametr auth.config.admin.forceConstraints i ustaw jego wartość na false.

  4. Zapisz zmiany i uruchom ponownie serwer WWW Apache Tomcat, aby zastosować modyfikacje.

Po odzyskaniu dostępu sprawdź i dostosuj ustawienia ograniczeń dotyczących adresów IP.

Ustawienia ogólne

Aby zmodyfikować ogólne ustawienia uwierzytelniania:

  • Przejdź do Autentykacja > Więcej opcji, a następnie kliknij Ustawienia ogólne.

Dostępne są następujące opcje:

  • Śledzenie: Włącz rejestrowanie śledzenia uwierzytelniania, aby dodatkowe szczegóły uwierzytelniania były rejestrowane w dziennikach serwera WWW. Jest to przydatne w fazie konfiguracji mechanizmów uwierzytelniania, takich jak SAML. Śledzenie zostanie automatycznie wyłączone po ponownym uruchomieniu serwera WWW.

  • Reset konfiguracji: Zresetuj ustawienia uwierzytelniania do ustawień fabrycznych. Wszelkie wcześniej zastosowane modyfikacje zostaną utracone.