AiHummer
Беларуская
Увайсці
v1.0.x
{ }Swagger

Карпаратыўны SSO

v1.0.x · абноўлена 2026-06-26

AiHummer аўтэнтыфікуе адміністратараў і карыстальнікаў супраць вашага правайдара ідэнтычнасці. Асноўны прадукцыйны кантроль — гэта OIDC, які абараняе адміністрацыйны API; SAML, LDAP/AD і прадастаўленне SCIM таксама рэалізаваны, разам з лакальнай аўтэнтыфікацыяй для канфігурацый без знешняга IdP.

OIDC абараняе адміністрацыйны API

OIDC працуе ў рэжыме забароны па змаўчанні і з’яўляецца кантролем, які абараняе /v1/admin/*. Наладзьце яго з дапамогай AIHUMMER_OIDC_ISSUER (і звязаных налад кліента).

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

Існуе runbook oidc-setup (docs/runbooks/oidc-setup.md), які праводзіць праз рэгістрацыю кліента і падключэнне эмітэнта.

[!DANGER] Без наладжанага OIDC адміністрацыйны API давярае dev-загалоўкам для ідэнтычнасці. Гэты рэжым прызначаны толькі для лакальнай распрацоўкі — ніколі не выстаўляйце адміністрацыйны эндпойнт у інтэрнэт без OIDC (або іншай прымусовай аўтэнтыфікацыі) перад ім. Наладзьце AIHUMMER_OIDC_ISSUER перад любым нелакальным разгортваннем.

[!TIP] Накладзіце OIDC разам з спісам дазволеных IP і абмежаванымі API-ключамі, каб адміністрацыйны доступ кантраляваўся ідэнтычнасцю, сеткай і прывілеямі разам.

SAML

Аднаразовы ўваход SAML рэалізаваны, выстаўляючы стандартныя эндпойнты пастаўшчыка сэрвісу:

Эндпойнт Прызначэнне
GET /saml/metadata Метаданыя пастаўшчыка сэрвісу для вашага IdP.
POST /saml/acs Assertion Consumer Service — прымае адказ SAML.
GET /saml/login Ініцыюе паток уваходу SAML.

[!NOTE] SAML рэалізаваны, але не цалкам пацверджаны ў рэальнай працы супраць кожнага IdP. Стаўцеся да яго як да даступнага і праверце яго супраць вашага канкрэтнага правайдара ідэнтычнасці, перш чым спадзявацца на яго ў прадакшэне.

LDAP / Active Directory

Аўтэнтыфікацыя LDAP/AD рэалізавана для асяроддзяў, якія аўтэнтыфікуюць карыстальнікаў супраць сервера каталога.

[!NOTE] Як і ў выпадку з SAML, LDAP/AD рэалізаваны, але не цалкам пацверджаны ў рэальнай працы ва ўсіх канфігурацыях каталога. Праверце яго супраць вашага ўласнага каталога перад разгортваннем.

Прадастаўленне SCIM

SCIM дазваляе вашаму IdP аўтаматычна прадастаўляць і адклікаць карыстальнікаў праз стандартныя эндпойнты карыстальнікаў SCIM v2:

Эндпойнт Прызначэнне
GET /scim/v2/Users Спіс / запыт прадастаўленых карыстальнікаў.
POST /scim/v2/Users Стварыць карыстальніка.
GET /scim/v2/Users/{id} Прачытаць асобнага карыстальніка.
PUT /scim/v2/Users/{id} Абнавіць карыстальніка.
DELETE /scim/v2/Users/{id} Адклікаць прадастаўленне карыстальніка.

Прадастаўленне праз SCIM трымае каталог карыстальнікаў у сінхранізацыі з вашым IdP, так што новыя і звольненыя супрацоўнікі адлюстроўваюцца без ручной адміністрацыйнай працы.

Лакальная аўтэнтыфікацыя

Калі няма знешняга IdP, AiHummer падтрымлівае лакальную аўтэнтыфікацыю. На свежай базе даных шлюз друкуе аднаразовы пароль admin у лог пры першым запуску; увайдзіце і неадкладна зменіце яго. Лакальная аўтэнтыфікацыя падыходзіць для невялікіх або ізаляваных разгортванняў, але для арганізацый з IdP OIDC застаецца рэкамендаваным прадукцыйным шляхам.

Выбар падыходу

Механізм Найлепш для Статус
OIDC Абарона адміністрацыйнага API ў любым нелакальным разгортванні Рэкамендаваны прадукцыйны шлях
SAML Прадпрыемствы, стандартызаваныя на SAML SSO Рэалізавана; праверце супраць вашага IdP
LDAP / AD Аўтэнтыфікацыя на аснове каталога Рэалізавана; праверце супраць вашага каталога
SCIM Аўтаматызаванае прадастаўленне карыстальнікаў ад IdP Рэалізавана (SCIM v2 Users)
Лакальная аўтэнтыфікацыя Невялікія або ізаляваныя разгортванні без IdP Убудавана

Куды далей