AiHummer
Кыргызча
Кирүү
v1.0.x
{ }Swagger

Корпоративдик SSO

v1.0.x · жаңыланды 2026-06-26

AiHummer администраторлорду жана колдонуучуларды сиздин идентификация провайдериңизге карата аутентификациялайт. Негизги, өндүрүштүк жолдогу көзөмөл — bul OIDC, ал admin API’ни коргойт; SAML, LDAP/AD жана SCIM камсыздоосу да ишке ашырылган, ошондой эле тышкы IdP жок орнотуулар үчүн жергиликтүү аутентификация.

OIDC admin API’ни коргойт

OIDC демейки боюнча тыюу салат жана /v1/admin/* дарегин коргогон көзөмөл болуп саналат. Аны AIHUMMER_OIDC_ISSUER (жана байланышкан клиент жөндөөлөрү) менен конфигурациялаңыз.

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

Клиентти каттоо жана издегичти туташтыруу боюнча кадам-кадам сүрөттөгөн oidc-setup runbook (docs/runbooks/oidc-setup.md) бар.

[!DANGER] OIDC конфигурацияланбаса, admin API идентификация үчүн dev аталыштарына ишенет. Ал режим жергиликтүү иштеп чыгуу үчүн гана — admin акыркы чекитти алдында OIDC (же башка мажбурланган аутентификация) болбостон эч качан интернетке ачпаңыз. Жергиликтүү эмес ар кандай жайылтуудан мурда AIHUMMER_OIDC_ISSUER жөндөңүз.

[!TIP] OIDC’ни IP уруксат тизмеси жана чектелген API ачкычтар менен катмарлаңыз, ошондо admin мүмкүнчүлүгү идентификация, тармак жана артыкчылык менен бирге башкарылат.

SAML

SAML бирдиктүү кирүү ишке ашырылган, стандарттык кызмат-провайдер акыркы чекиттерин ачат:

Акыркы чекит Максаты
GET /saml/metadata Сиздин IdP үчүн кызмат-провайдер метадайындары.
POST /saml/acs Assertion Consumer Service — SAML жоопту кабыл алат.
GET /saml/login SAML кирүү процессин баштайт.

[!NOTE] SAML ишке ашырылган, бирок ар бир IdP’ге карата толук жандуу далилденген эмес. Аны жеткиликтүү катары кабылдаңыз жана өндүрүштө ага таянуудан мурда өзүңүздүн конкреттүү идентификация провайдериңизге карата текшериңиз.

LDAP / Active Directory

LDAP/AD аутентификациясы колдонуучуларды каталог серверине карата аутентификациялаган чөйрөлөр үчүн ишке ашырылган.

[!NOTE] SAML сыяктуу эле, LDAP/AD ишке ашырылган, бирок бардык каталог конфигурацияларынын бардыгында толук жандуу далилденген эмес. Жайылтуудан мурда аны өзүңүздүн каталогуңузга карата текшериңиз.

SCIM камсыздоо

SCIM сиздин IdP’ге колдонуучуларды стандарттык SCIM v2 колдонуучу акыркы чекиттери аркылуу автоматтык түрдө камсыздоого жана камсыздоодон чыгарууга мүмкүндүк берет:

Акыркы чекит Максаты
GET /scim/v2/Users Камсыздалган колдонуучуларды тизмелөө / сурамжылоо.
POST /scim/v2/Users Колдонуучу түзүү.
GET /scim/v2/Users/{id} Бир колдонуучуну окуу.
PUT /scim/v2/Users/{id} Колдонуучуну жаңылоо.
DELETE /scim/v2/Users/{id} Колдонуучуну камсыздоодон чыгаруу.

SCIM аркылуу камсыздоо колдонуучу каталогун сиздин IdP менен синхрондоп турат, ошондуктан жаңы кошулгандар жана кеткендер кол менен admin иши жасалбай эле чагылдырылат.

Жергиликтүү аутентификация

Тышкы IdP жок болгондо, AiHummer жергиликтүү аутентификацияны колдойт. Жаңы маалымат базасында издегич биринчи жолу иштегенде журналга бир жолку admin сырсөзүн басып чыгарат; кирип, аны дароо өзгөртүңүз. Жергиликтүү аутентификация чакан же обочолонгон жайылтуулар үчүн ылайыктуу, бирок IdP бар уюмдар үчүн OIDC сунушталган өндүрүштүк жол бойдон калат.

Ыкманы тандоо

Механизм Эң жакшы Статус
OIDC Жергиликтүү эмес ар кандай жайылтууда admin API’ни коргоо Сунушталган өндүрүштүк жол
SAML SAML SSO боюнча стандартташтырылган ишканалар Ишке ашырылган; өз IdP’ге карата текшериңиз
LDAP / AD Каталогго негизделген аутентификация Ишке ашырылган; өз каталогуңузга карата текшериңиз
SCIM IdP’ден автоматтык колдонуучу камсыздоо Ишке ашырылган (SCIM v2 Users)
Жергиликтүү аутентификация IdP жок чакан же обочолонгон жайылтуулар Курулган

Кийинки кайда