AiHummer
Тоҷикӣ
Даромадан
v1.0.x
{ }Swagger

SSO-и корпоративӣ

v1.0.x · навсозӣ шуд 2026-06-26

AiHummer администраторон ва корбаронро дар муқобили провайдери ҳувияти шумо аутентификатсия мекунад. Назорати асосии роҳи истеҳсолӣ OIDC аст, ки API-и админро муҳофизат мекунад; таъмини SAML, LDAP/AD ва SCIM низ амалӣ карда шудаанд, дар баробари аутентификатсияи маҳаллӣ барои танзимотҳои бидуни IdP-и берунӣ.

OIDC API-и админро муҳофизат мекунад

OIDC рад ба таври пешфарз аст ва назоратест, ки /v1/admin/*-ро муҳофизат мекунад. Онро бо AIHUMMER_OIDC_ISSUER (ва танзимоти алоқаманди муштарӣ) конфигуратсия кунед.

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

Як дастурамали oidc-setup (docs/runbooks/oidc-setup.md) мавҷуд аст, ки тарзи бақайдгирии муштарӣ ва васл кардани issuer-ро қадам ба қадам нишон медиҳад.

[!DANGER] Бидуни конфигуратсияи OIDC, API-и админ ба сарлавҳаҳои dev барои ҳувият бовар мекунад. Он реҷа танҳо барои таҳияи маҳаллист — ҳаргиз як нуқтаи интиҳои админро ба интернет бидуни OIDC (ё аутентификатсияи дигари иҷрошаванда) дар пеши он нанамоиш надиҳед. Пеш аз ҳама ҷойгиркунии ғайримаҳаллӣ AIHUMMER_OIDC_ISSUER-ро конфигуратсия кунед.

[!TIP] OIDC-ро бо рӯйхати иҷозати IP ва калидҳои API-и доирабандишуда қабат-қабат кунед, то дастрасии админ якҷоя бо ҳувият, шабака ва имтиёз дарвозабандӣ шавад.

SAML

Воридшавии ягонаи SAML амалӣ карда шудааст ва нуқтаҳои интиҳои стандартии провайдери хидматро намоиш медиҳад:

Нуқтаи интиҳо Мақсад
GET /saml/metadata Метадодаҳои провайдери хидмат барои IdP-и шумо.
POST /saml/acs Assertion Consumer Service — ҷавоби SAML-ро қабул мекунад.
GET /saml/login Ҷараёни воридшавии SAML-ро оғоз мекунад.

[!NOTE] SAML амалӣ карда шудааст, аммо дар муқобили ҳар IdP пурра ба таври зинда исбот нашудааст. Онро ҳамчун дастрас ҳисоб кунед ва пеш аз он ки дар истеҳсол ба он такя кунед, онро дар муқобили провайдери ҳувияти мушаххаси худ тасдиқ кунед.

LDAP / Active Directory

Аутентификатсияи LDAP/AD барои муҳитҳое амалӣ карда шудааст, ки корбаронро дар муқобили сервери директория аутентификатсия мекунанд.

[!NOTE] Мисли SAML, LDAP/AD амалӣ карда шудааст, аммо дар тамоми конфигуратсияҳои директория пурра ба таври зинда исбот нашудааст. Онро пеш аз пиёдакунӣ дар муқобили директорияи худ санҷед.

Таъмини SCIM

SCIM ба IdP-и шумо имкон медиҳад, ки корбаронро ба таври худкор тавассути нуқтаҳои интиҳои стандартии корбари SCIM v2 таъмин ва аз таъмин барорад:

Нуқтаи интиҳо Мақсад
GET /scim/v2/Users Рӯйхат / дархости корбарони таъминшуда.
POST /scim/v2/Users Эҷоди корбар.
GET /scim/v2/Users/{id} Хондани як корбари ягона.
PUT /scim/v2/Users/{id} Навсозии корбар.
DELETE /scim/v2/Users/{id} Аз таъмин баровардани корбар.

Таъмин тавассути SCIM директорияи корбаронро бо IdP-и шумо ҳамоҳанг нигоҳ медорад, то воридшавандагон ва тарккунандагон бидуни кори дастии админ инъикос ёбанд.

Аутентификатсияи маҳаллӣ

Вақте IdP-и берунӣ нест, AiHummer аутентификатсияи маҳаллиро дастгирӣ мекунад. Дар як пойгоҳи додаҳои нав гейтвей ҳангоми оғози аввал як пароли якдафъаинаи admin-ро ба лог чоп мекунад; ворид шавед ва онро фавран иваз кунед. Аутентификатсияи маҳаллӣ барои ҷойгиркуниҳои хурд ё ҷудошуда мувофиқ аст, аммо барои созмонҳои дорои IdP, OIDC роҳи истеҳсолии тавсияшуда боқӣ мемонад.

Интихоби равиш

Механизм Беҳтарин барои Вазъият
OIDC Муҳофизати API-и админ дар ҳар ҷойгиркунии ғайримаҳаллӣ Роҳи истеҳсолии тавсияшуда
SAML Корхонаҳое, ки ба SSO-и SAML стандартсозӣ шудаанд Амалишуда; дар муқобили IdP-и худ тасдиқ кунед
LDAP / AD Аутентификатсияи бар директория асосёфта Амалишуда; дар муқобили директорияи худ тасдиқ кунед
SCIM Таъмини худкори корбарон аз IdP Амалишуда (SCIM v2 Users)
Аутентификатсияи маҳаллӣ Ҷойгиркуниҳои хурд ё ҷудошуда бидуни IdP Дарунсохт

Минбаъд ба куҷо