Настройка работы со службой авторизации SAML

Настройка авторизации по SAML позволяет пользователям входить в BOOCO через корпоративную учетную запись (Single Sign-on, SSO).

Это упрощает процесс авторизации в случае, когда для доступа к корпоративным веб-приложениям сотрудники должны пройти аутентификацию с помощью Active Directory Federation Services (AD FS):

• не нужно запоминать отдельный пароль для входа в BOOCO;
• для доступа к BOOCO и к другим веб-приложениям, использующим AD FS, достаточно войти в учетную запись только один раз с одним логином и паролем.

Порядок настройки авторизации по SAML

1. В разделе Настройки → Службы каталогов нажмите Добавить и выберите Служба авторизации SAML.
2. Добавьте параметры службы авторизации SAML, которую вы используете:
• Имя*: название службы авторизации SAML на сервере BOOCO;
• Точка входа (entrypoint URL)*: создается в AD FS. Например: https://adfs.booco.ru/adfs/ls/idpinitiatedsignon.aspx;
• URL-адрес обратного вызова (callback URL)*: создается в AD FS;
• Сертфикат*: публичный сертификат Identity Provider IDP. Должен быть в формате PEM-encoded X.509. Указывается в виде: ----BEGIN CERTIFICATE---- <код сертификата> ---END CERTIFICATE----

Если нужно, укажите:

• Контекст авторизации (AuthnContext): http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
• Формат идентификатора (identifierFormat): urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName или urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

Пример настройки свойств службы авторизации SAML:

3. Разрешите авторизицию по SAML в BOOCO. Для этого в booco.yml добавьте значение saml в поле login-modes в разделе general.

Пример с разрешением авторизиции по SAML в booco.yml:

4. Перезапустите сервер BOOCO.
5. Проверьте, что авторизация по SAML заработала. Для этого войдите в BOOCO через корпоративную учетную запись (Single Sign-on, SSO).