საწარმოო SSO
AiHummer ახდენს ადმინისტრატორებისა და მომხმარებლების ავთენტიფიკაციას შენი იდენტობის პროვაიდერის წინააღმდეგ. მთავარი, საწარმოო-გზის კონტროლი არის OIDC, რომელიც იცავს ადმინ API-ს; SAML, LDAP/AD და SCIM პროვიჟენინგი ასევე იმპლემენტირებულია, ლოკალურ ავთენტიფიკაციასთან ერთად გარე IdP-ის გარეშე კონფიგურაციებისთვის.
OIDC იცავს ადმინ API-ს
OIDC არის ნაგულისხმევად-აკრძალვა და არის ის კონტროლი, რომელიც იცავს /v1/admin/*-ს.
დააკონფიგურირე იგი AIHUMMER_OIDC_ISSUER-ით (და დაკავშირებული კლიენტის პარამეტრებით).
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
არსებობს oidc-setup runbook (docs/runbooks/oidc-setup.md), რომელიც გადის
კლიენტის რეგისტრაციასა და issuer-ის შეერთებას.
[!DANGER] OIDC-ის კონფიგურაციის გარეშე, ადმინ API ენდობა dev ჰედერებს იდენტობისთვის. ეს რეჟიმი მხოლოდ ლოკალური დეველოპმენტისთვისაა — არასოდეს გამოამჟღავნო ადმინ წერტილი ინტერნეტში OIDC-ის (ან სხვა იძულებითი ავთენტიფიკაციის) გარეშე მის წინ. დააკონფიგურირე
AIHUMMER_OIDC_ISSUERნებისმიერ არა-ლოკალურ განთავსებამდე.
[!TIP] დააფენე OIDC IP allowlist-სა და არეალირებულ API გასაღებებს, რათა ადმინ წვდომა იყოს დაცული იდენტობით, ქსელითა და პრივილეგიით ერთად.
SAML
SAML ერთიანი შესვლა იმპლემენტირებულია, ააქვეყნებს სტანდარტულ სერვის-პროვაიდერის წერტილებს:
| წერტილი | დანიშნულება |
|---|---|
GET /saml/metadata |
სერვის-პროვაიდერის მეტამონაცემები შენი IdP-ისთვის. |
POST /saml/acs |
Assertion Consumer Service — იღებს SAML პასუხს. |
GET /saml/login |
იწყებს SAML შესვლის ნაკადს. |
[!NOTE] SAML იმპლემენტირებულია, მაგრამ არ არის სრულად ცოცხლად-დადასტურებული ყველა IdP-ის წინააღმდეგ. მოეპყარი მას როგორც ხელმისაწვდომს და გადაამოწმე შენი კონკრეტული იდენტობის პროვაიდერის წინააღმდეგ პროდაქშენში მასზე დაყრდნობამდე.
LDAP / Active Directory
LDAP/AD ავთენტიფიკაცია იმპლემენტირებულია იმ გარემოებისთვის, რომლებიც ახდენენ მომხმარებლების ავთენტიფიკაციას დირექტორიის სერვერის წინააღმდეგ.
[!NOTE] SAML-ის მსგავსად, LDAP/AD იმპლემენტირებულია, მაგრამ არ არის სრულად ცოცხლად-დადასტურებული ყველა დირექტორიის კონფიგურაციაში. გატესტე იგი შენი საკუთარი დირექტორიის წინააღმდეგ გაშვებამდე.
SCIM პროვიჟენინგი
SCIM აძლევს შენს IdP-ს მომხმარებლების ავტომატურად პროვიჟენინგისა და დე-პროვიჟენინგის საშუალებას, სტანდარტული SCIM v2 user წერტილებით:
| წერტილი | დანიშნულება |
|---|---|
GET /scim/v2/Users |
ჩამოთვლის / ეძებს პროვიჟენირებულ მომხმარებლებს. |
POST /scim/v2/Users |
ქმნის მომხმარებელს. |
GET /scim/v2/Users/{id} |
კითხულობს ერთ მომხმარებელს. |
PUT /scim/v2/Users/{id} |
აახლებს მომხმარებელს. |
DELETE /scim/v2/Users/{id} |
დე-პროვიჟენირებს მომხმარებელს. |
SCIM-ით პროვიჟენინგი ინახავს მომხმარებლების დირექტორიას შენი IdP-ის სინქრონში ისე, რომ ახალი დასაქმებულები და წამსვლელები აისახება ხელით ადმინ მუშაობის გარეშე.
ლოკალური ავთენტიფიკაცია
როცა გარე IdP არ არსებობს, AiHummer მხარს უჭერს ლოკალურ ავთენტიფიკაციას. ახალ ბაზაზე
gateway ბეჭდავს ერთჯერად admin პაროლს ლოგში პირველი გაშვებისას; შედი და დაუყოვნებლივ
შეცვალე იგი. ლოკალური ავთენტიფიკაცია შესაფერისია მცირე ან იზოლირებული განთავსებებისთვის,
მაგრამ IdP-ის მქონე ორგანიზაციებისთვის OIDC რჩება რეკომენდებულ პროდაქშენ გზად.
მიდგომის არჩევა
| მექანიზმი | რისთვისაა საუკეთესო | სტატუსი |
|---|---|---|
| OIDC | ადმინ API-ის დაცვა ნებისმიერ არა-ლოკალურ განთავსებაში | რეკომენდებული პროდაქშენ გზა |
| SAML | SAML SSO-ზე სტანდარტიზებული საწარმოები | იმპლემენტირებული; გადაამოწმე შენი IdP-ის წინააღმდეგ |
| LDAP / AD | დირექტორიაზე-დაფუძნებული ავთენტიფიკაცია | იმპლემენტირებული; გადაამოწმე შენი დირექტორიის წინააღმდეგ |
| SCIM | ავტომატური მომხმარებლების პროვიჟენინგი IdP-დან | იმპლემენტირებული (SCIM v2 Users) |
| ლოკალური ავთენტიფიკაცია | მცირე ან იზოლირებული განთავსებები IdP-ის გარეშე | ჩაშენებული |
სად შემდეგ
- RBAC და არეალირებული API გასაღებები — ავტორიზაცია იმ იდენტობებისა, რომელთა ავთენტიფიკაციასაც შენი IdP ახდენს.
- ქსელი, აუდიტი და air-gapped — შეზღუდე ადმინ წვდომა ქსელით და შეინახე აუდიტის კვალი.
- საიდუმლოების საცავი — სად ცხოვრობს სარწმუნებლები და ტოკენები.