AiHummer
ქართული
შესვლა
v1.0.x
{ }Swagger

საწარმოო SSO

v1.0.x · განახლდა 2026-06-26

AiHummer ახდენს ადმინისტრატორებისა და მომხმარებლების ავთენტიფიკაციას შენი იდენტობის პროვაიდერის წინააღმდეგ. მთავარი, საწარმოო-გზის კონტროლი არის OIDC, რომელიც იცავს ადმინ API-ს; SAML, LDAP/AD და SCIM პროვიჟენინგი ასევე იმპლემენტირებულია, ლოკალურ ავთენტიფიკაციასთან ერთად გარე IdP-ის გარეშე კონფიგურაციებისთვის.

OIDC იცავს ადმინ API-ს

OIDC არის ნაგულისხმევად-აკრძალვა და არის ის კონტროლი, რომელიც იცავს /v1/admin/*-ს. დააკონფიგურირე იგი AIHUMMER_OIDC_ISSUER-ით (და დაკავშირებული კლიენტის პარამეტრებით).

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

არსებობს oidc-setup runbook (docs/runbooks/oidc-setup.md), რომელიც გადის კლიენტის რეგისტრაციასა და issuer-ის შეერთებას.

[!DANGER] OIDC-ის კონფიგურაციის გარეშე, ადმინ API ენდობა dev ჰედერებს იდენტობისთვის. ეს რეჟიმი მხოლოდ ლოკალური დეველოპმენტისთვისაა — არასოდეს გამოამჟღავნო ადმინ წერტილი ინტერნეტში OIDC-ის (ან სხვა იძულებითი ავთენტიფიკაციის) გარეშე მის წინ. დააკონფიგურირე AIHUMMER_OIDC_ISSUER ნებისმიერ არა-ლოკალურ განთავსებამდე.

[!TIP] დააფენე OIDC IP allowlist-სა და არეალირებულ API გასაღებებს, რათა ადმინ წვდომა იყოს დაცული იდენტობით, ქსელითა და პრივილეგიით ერთად.

SAML

SAML ერთიანი შესვლა იმპლემენტირებულია, ააქვეყნებს სტანდარტულ სერვის-პროვაიდერის წერტილებს:

წერტილი დანიშნულება
GET /saml/metadata სერვის-პროვაიდერის მეტამონაცემები შენი IdP-ისთვის.
POST /saml/acs Assertion Consumer Service — იღებს SAML პასუხს.
GET /saml/login იწყებს SAML შესვლის ნაკადს.

[!NOTE] SAML იმპლემენტირებულია, მაგრამ არ არის სრულად ცოცხლად-დადასტურებული ყველა IdP-ის წინააღმდეგ. მოეპყარი მას როგორც ხელმისაწვდომს და გადაამოწმე შენი კონკრეტული იდენტობის პროვაიდერის წინააღმდეგ პროდაქშენში მასზე დაყრდნობამდე.

LDAP / Active Directory

LDAP/AD ავთენტიფიკაცია იმპლემენტირებულია იმ გარემოებისთვის, რომლებიც ახდენენ მომხმარებლების ავთენტიფიკაციას დირექტორიის სერვერის წინააღმდეგ.

[!NOTE] SAML-ის მსგავსად, LDAP/AD იმპლემენტირებულია, მაგრამ არ არის სრულად ცოცხლად-დადასტურებული ყველა დირექტორიის კონფიგურაციაში. გატესტე იგი შენი საკუთარი დირექტორიის წინააღმდეგ გაშვებამდე.

SCIM პროვიჟენინგი

SCIM აძლევს შენს IdP-ს მომხმარებლების ავტომატურად პროვიჟენინგისა და დე-პროვიჟენინგის საშუალებას, სტანდარტული SCIM v2 user წერტილებით:

წერტილი დანიშნულება
GET /scim/v2/Users ჩამოთვლის / ეძებს პროვიჟენირებულ მომხმარებლებს.
POST /scim/v2/Users ქმნის მომხმარებელს.
GET /scim/v2/Users/{id} კითხულობს ერთ მომხმარებელს.
PUT /scim/v2/Users/{id} აახლებს მომხმარებელს.
DELETE /scim/v2/Users/{id} დე-პროვიჟენირებს მომხმარებელს.

SCIM-ით პროვიჟენინგი ინახავს მომხმარებლების დირექტორიას შენი IdP-ის სინქრონში ისე, რომ ახალი დასაქმებულები და წამსვლელები აისახება ხელით ადმინ მუშაობის გარეშე.

ლოკალური ავთენტიფიკაცია

როცა გარე IdP არ არსებობს, AiHummer მხარს უჭერს ლოკალურ ავთენტიფიკაციას. ახალ ბაზაზე gateway ბეჭდავს ერთჯერად admin პაროლს ლოგში პირველი გაშვებისას; შედი და დაუყოვნებლივ შეცვალე იგი. ლოკალური ავთენტიფიკაცია შესაფერისია მცირე ან იზოლირებული განთავსებებისთვის, მაგრამ IdP-ის მქონე ორგანიზაციებისთვის OIDC რჩება რეკომენდებულ პროდაქშენ გზად.

მიდგომის არჩევა

მექანიზმი რისთვისაა საუკეთესო სტატუსი
OIDC ადმინ API-ის დაცვა ნებისმიერ არა-ლოკალურ განთავსებაში რეკომენდებული პროდაქშენ გზა
SAML SAML SSO-ზე სტანდარტიზებული საწარმოები იმპლემენტირებული; გადაამოწმე შენი IdP-ის წინააღმდეგ
LDAP / AD დირექტორიაზე-დაფუძნებული ავთენტიფიკაცია იმპლემენტირებული; გადაამოწმე შენი დირექტორიის წინააღმდეგ
SCIM ავტომატური მომხმარებლების პროვიჟენინგი IdP-დან იმპლემენტირებული (SCIM v2 Users)
ლოკალური ავთენტიფიკაცია მცირე ან იზოლირებული განთავსებები IdP-ის გარეშე ჩაშენებული

სად შემდეგ