Перейти к содержанию

Установка и настройка SAML SSO

Функционал доступен в Enterprise GitFlic

Настройка SAML SSO в GitFlic

Для перехода к настройкам перейдите в панель администрирования и откройте раздел Настройки SSO -> SAML SSO.

SAML SSO

В данном разделе будут отображены все существующие подключения. Для создания нового подключения нажмите кнопку Создать.

SAML SSO

Скриншоты настройки приложения провайдера авторизации представлены в качестве примера. Все названия полей различных поставщиков имеют схожее по написанию или смыслу значение.

В вашем проводнике идентификации создайте новое приложение для авторизации. В его настройках укажите URL поставщика услуг и EntityID поставщика услуг, которые указаны на странице создания подключения в панели администратора GitFlic.

SAML SSO

Далее вам необходимо в настройках вашего провайдера идентификации сопоставить поля атрибутов с указанными на странице создания подключения в GitFlic:

  • SAML атрибут nameID должен быть уникальным и неизменяемым

  • email — email пользователя (обязательный, уникальный)

  • username — username пользователя (обязательный, уникальный)

  • firstname — Имя пользователя (необязательно)

  • surname — Фамилия пользователя (необязательно)

SAML SSO

Далее необходимо скопировать "Metadata URL поставщика удостоверений" и вставить его на странице создания подключения в соответствующее поле.

SAML SSO

IssuerID поставщика удостоверений может быть как фиксированным и задан поставщиком, так и полем ввода для указания IssuerID вручную. Необходимо также указать его на странице создания подключения.

SAML SSO

В поле сертификата необходимо вставить x509 сертификат поставщика удостоверений (IDP certificate). Сертификат принимается в текстовом виде и является обязательным условием для сохранений изменений настроек подключения.

Начиная с версии 4.0.0 заполнение поля сертификат не является обязательным

После создания и сохранения подключения, совершите тестовую авторизацию через ваш провайдер авторизации.

Дополнительные настройки безопасности SAML-SSO

Начиная с версии 4.0.0 вы можете включить дополнительную проверку подписи SAML-ответа, и использовать шифрование на стороне IDP. По умолчанию эти опции отключены.

SAML SSO

Проверка подписи IDP

Подпись в составе SAML-ответа может быть дополнительно проверена на стороне Gitflic. Дополнительная проверка может повысить безопасность при работе с SAML-IDP. Для этого необходимо активировать опцию Проверять сертификат метаданых и указать SHA1 отпечаток сертификата подписи IDP.

SAML SSO

Если Ваш поставщик аутентификации SAML не предоставляет SHA-1 хэш сертификата подписи утверждений, укажите в поле Сертификат поставщика удостоверений сертификат в формате PEM и нажмите на кнопку Посчитать SHA-1 сертификата.

SAML SSO

SAML SSO

Настройка расшифровки SAML-ответа

Начиная с версии 4.0.0 вы можете включить шифрование ответов на стороне IDP. Для расшифровки необходимо добавить в настройки подключения приватный ключ и пароль (при необходимости).

SAML SSO