Korporativ SSO
AiHummer administratorları və istifadəçiləri sizin kimlik provayderinizə qarşı autentifikasiya edir. Əsas, istehsalat yolu olan nəzarət OIDC-dir, o, admin API-ni qoruyur; xarici IdP olmayan qurğular üçün yerli autentifikasiya ilə yanaşı, SAML, LDAP/AD və SCIM təminatı da tətbiq olunub.
OIDC admin API-ni qoruyur
OIDC standart olaraq rədd edir və /v1/admin/*-ı qoruyan nəzarətdir. Onu
AIHUMMER_OIDC_ISSUER (və əlaqəli müştəri parametrləri) ilə konfiqurasiya edin.
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Müştərini qeydiyyatdan keçirmək və issueri qoşmaq üzrə addım-addım yol göstərən
oidc-setup runbook (docs/runbooks/oidc-setup.md) mövcuddur.
[!DANGER] OIDC konfiqurasiya olunmadan admin API kimlik üçün dev başlıqlara etibar edir. Bu rejim yalnız yerli inkişaf üçündür — OIDC (və ya başqa məcburi autentifikasiya) qarşısında olmadan heç vaxt admin son nöqtəsini internetə açmayın. Hər hansı qeyri-yerli yerləşdirmədən əvvəl
AIHUMMER_OIDC_ISSUER-i konfiqurasiya edin.
[!TIP] OIDC-ni IP icazə siyahısı və əhatəli API açarları ilə təbəqələşdirin ki, admin girişi kimlik, şəbəkə və imtiyazla birlikdə qapılansın.
SAML
SAML tək-girişlə (single sign-on) autentifikasiya tətbiq olunub və standart xidmət-provayderi son nöqtələrini təqdim edir:
| Son nöqtə | Məqsəd |
|---|---|
GET /saml/metadata |
IdP-niz üçün xidmət-provayderi metaməlumatları. |
POST /saml/acs |
Assertion Consumer Service — SAML cavabını qəbul edir. |
GET /saml/login |
SAML giriş axınını başladır. |
[!NOTE] SAML tətbiq olunub, lakin hər IdP-yə qarşı tam canlı sübut edilməyib. Onu mövcud kimi qəbul edin və istehsalatda etibar etməzdən əvvəl öz konkret kimlik provayderinizə qarşı yoxlayın.
LDAP / Active Directory
LDAP/AD autentifikasiyası istifadəçiləri kataloq serverinə qarşı autentifikasiya edən mühitlər üçün tətbiq olunub.
[!NOTE] SAML-də olduğu kimi, LDAP/AD də tətbiq olunub, lakin bütün kataloq konfiqurasiyaları üzrə tam canlı sübut edilməyib. Tətbiq etməzdən əvvəl onu öz kataloqunuza qarşı yoxlayın.
SCIM təminatı
SCIM IdP-nizə istifadəçiləri standart SCIM v2 istifadəçi son nöqtələri vasitəsilə avtomatik olaraq təmin etməyə və geri çıxarmağa imkan verir:
| Son nöqtə | Məqsəd |
|---|---|
GET /scim/v2/Users |
Təmin olunmuş istifadəçiləri sadala / sorğula. |
POST /scim/v2/Users |
İstifadəçi yarat. |
GET /scim/v2/Users/{id} |
Tək istifadəçini oxu. |
PUT /scim/v2/Users/{id} |
İstifadəçini yenilə. |
DELETE /scim/v2/Users/{id} |
İstifadəçini geri çıxar. |
SCIM vasitəsilə təminat istifadəçi kataloqunu IdP-nizlə sinxron saxlayır ki, işə qoşulanlar və ayrılanlar əl ilə admin işi olmadan əks olunsun.
Yerli autentifikasiya
Xarici IdP olmadıqda AiHummer yerli autentifikasiyanı dəstəkləyir. Təzə
verilənlər bazasında gateway ilk başlanğıcda jurnal-loga birdəfəlik admin
parolunu çap edir; daxil olun və onu dərhal dəyişin. Yerli autentifikasiya kiçik
və ya təcrid olunmuş yerləşdirmələr üçün uyğundur, lakin IdP-yə malik təşkilatlar
üçün OIDC tövsiyə olunan istehsalat yolu olaraq qalır.
Yanaşma seçmək
| Mexanizm | Ən yaxşısı | Status |
|---|---|---|
| OIDC | Hər hansı qeyri-yerli yerləşdirmədə admin API-ni qorumaq | Tövsiyə olunan istehsalat yolu |
| SAML | SAML SSO üzərində standartlaşmış müəssisələr | Tətbiq olunub; IdP-nizə qarşı yoxlayın |
| LDAP / AD | Kataloq əsaslı autentifikasiya | Tətbiq olunub; kataloqunuza qarşı yoxlayın |
| SCIM | IdP-dən avtomatik istifadəçi təminatı | Tətbiq olunub (SCIM v2 Users) |
| Yerli autentifikasiya | IdP olmadan kiçik və ya təcrid olunmuş yerləşdirmələr | Daxili |
Sonra hara
- RBAC və əhatəli API açarları — IdP-nizin autentifikasiya etdiyi kimlikləri avtorizə edin.
- Şəbəkə, audit və hava-boşluqlu — admin girişini şəbəkə üzrə qapılayın və audit izini saxlayın.
- Sirlər seyfi — etibarnamələrin və tokenlərin yaşadığı yer.