Карпаратыўны SSO
AiHummer аўтэнтыфікуе адміністратараў і карыстальнікаў супраць вашага правайдара ідэнтычнасці. Асноўны прадукцыйны кантроль — гэта OIDC, які абараняе адміністрацыйны API; SAML, LDAP/AD і прадастаўленне SCIM таксама рэалізаваны, разам з лакальнай аўтэнтыфікацыяй для канфігурацый без знешняга IdP.
OIDC абараняе адміністрацыйны API
OIDC працуе ў рэжыме забароны па змаўчанні і з’яўляецца кантролем, які абараняе
/v1/admin/*. Наладзьце яго з дапамогай AIHUMMER_OIDC_ISSUER (і звязаных налад кліента).
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Існуе runbook oidc-setup (docs/runbooks/oidc-setup.md), які праводзіць праз
рэгістрацыю кліента і падключэнне эмітэнта.
[!DANGER] Без наладжанага OIDC адміністрацыйны API давярае dev-загалоўкам для ідэнтычнасці. Гэты рэжым прызначаны толькі для лакальнай распрацоўкі — ніколі не выстаўляйце адміністрацыйны эндпойнт у інтэрнэт без OIDC (або іншай прымусовай аўтэнтыфікацыі) перад ім. Наладзьце
AIHUMMER_OIDC_ISSUERперад любым нелакальным разгортваннем.
[!TIP] Накладзіце OIDC разам з спісам дазволеных IP і абмежаванымі API-ключамі, каб адміністрацыйны доступ кантраляваўся ідэнтычнасцю, сеткай і прывілеямі разам.
SAML
Аднаразовы ўваход SAML рэалізаваны, выстаўляючы стандартныя эндпойнты пастаўшчыка сэрвісу:
| Эндпойнт | Прызначэнне |
|---|---|
GET /saml/metadata |
Метаданыя пастаўшчыка сэрвісу для вашага IdP. |
POST /saml/acs |
Assertion Consumer Service — прымае адказ SAML. |
GET /saml/login |
Ініцыюе паток уваходу SAML. |
[!NOTE] SAML рэалізаваны, але не цалкам пацверджаны ў рэальнай працы супраць кожнага IdP. Стаўцеся да яго як да даступнага і праверце яго супраць вашага канкрэтнага правайдара ідэнтычнасці, перш чым спадзявацца на яго ў прадакшэне.
LDAP / Active Directory
Аўтэнтыфікацыя LDAP/AD рэалізавана для асяроддзяў, якія аўтэнтыфікуюць карыстальнікаў супраць сервера каталога.
[!NOTE] Як і ў выпадку з SAML, LDAP/AD рэалізаваны, але не цалкам пацверджаны ў рэальнай працы ва ўсіх канфігурацыях каталога. Праверце яго супраць вашага ўласнага каталога перад разгортваннем.
Прадастаўленне SCIM
SCIM дазваляе вашаму IdP аўтаматычна прадастаўляць і адклікаць карыстальнікаў праз стандартныя эндпойнты карыстальнікаў SCIM v2:
| Эндпойнт | Прызначэнне |
|---|---|
GET /scim/v2/Users |
Спіс / запыт прадастаўленых карыстальнікаў. |
POST /scim/v2/Users |
Стварыць карыстальніка. |
GET /scim/v2/Users/{id} |
Прачытаць асобнага карыстальніка. |
PUT /scim/v2/Users/{id} |
Абнавіць карыстальніка. |
DELETE /scim/v2/Users/{id} |
Адклікаць прадастаўленне карыстальніка. |
Прадастаўленне праз SCIM трымае каталог карыстальнікаў у сінхранізацыі з вашым IdP, так што новыя і звольненыя супрацоўнікі адлюстроўваюцца без ручной адміністрацыйнай працы.
Лакальная аўтэнтыфікацыя
Калі няма знешняга IdP, AiHummer падтрымлівае лакальную аўтэнтыфікацыю. На свежай базе
даных шлюз друкуе аднаразовы пароль admin у лог пры першым запуску; увайдзіце і неадкладна
зменіце яго. Лакальная аўтэнтыфікацыя падыходзіць для невялікіх або ізаляваных
разгортванняў, але для арганізацый з IdP OIDC застаецца рэкамендаваным прадукцыйным
шляхам.
Выбар падыходу
| Механізм | Найлепш для | Статус |
|---|---|---|
| OIDC | Абарона адміністрацыйнага API ў любым нелакальным разгортванні | Рэкамендаваны прадукцыйны шлях |
| SAML | Прадпрыемствы, стандартызаваныя на SAML SSO | Рэалізавана; праверце супраць вашага IdP |
| LDAP / AD | Аўтэнтыфікацыя на аснове каталога | Рэалізавана; праверце супраць вашага каталога |
| SCIM | Аўтаматызаванае прадастаўленне карыстальнікаў ад IdP | Рэалізавана (SCIM v2 Users) |
| Лакальная аўтэнтыфікацыя | Невялікія або ізаляваныя разгортванні без IdP | Убудавана |
Куды далей
- RBAC і абмежаваныя API-ключы — аўтарызаваць ідэнтычнасці, якія аўтэнтыфікуе ваш IdP.
- Сетка, аўдыт і ізаляцыя ад сеткі — кантраляваць адміністрацыйны доступ па сетцы і весці аўдыт-след.
- Сховішча сакрэтаў — дзе жывуць уліковыя даныя і токены.