SSO-и корпоративӣ
AiHummer администраторон ва корбаронро дар муқобили провайдери ҳувияти шумо аутентификатсия мекунад. Назорати асосии роҳи истеҳсолӣ OIDC аст, ки API-и админро муҳофизат мекунад; таъмини SAML, LDAP/AD ва SCIM низ амалӣ карда шудаанд, дар баробари аутентификатсияи маҳаллӣ барои танзимотҳои бидуни IdP-и берунӣ.
OIDC API-и админро муҳофизат мекунад
OIDC рад ба таври пешфарз аст ва назоратест, ки /v1/admin/*-ро муҳофизат мекунад.
Онро бо AIHUMMER_OIDC_ISSUER (ва танзимоти алоқаманди муштарӣ) конфигуратсия кунед.
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Як дастурамали oidc-setup (docs/runbooks/oidc-setup.md) мавҷуд аст, ки
тарзи бақайдгирии муштарӣ ва васл кардани issuer-ро қадам ба қадам нишон медиҳад.
[!DANGER] Бидуни конфигуратсияи OIDC, API-и админ ба сарлавҳаҳои dev барои ҳувият бовар мекунад. Он реҷа танҳо барои таҳияи маҳаллист — ҳаргиз як нуқтаи интиҳои админро ба интернет бидуни OIDC (ё аутентификатсияи дигари иҷрошаванда) дар пеши он нанамоиш надиҳед. Пеш аз ҳама ҷойгиркунии ғайримаҳаллӣ
AIHUMMER_OIDC_ISSUER-ро конфигуратсия кунед.
[!TIP] OIDC-ро бо рӯйхати иҷозати IP ва калидҳои API-и доирабандишуда қабат-қабат кунед, то дастрасии админ якҷоя бо ҳувият, шабака ва имтиёз дарвозабандӣ шавад.
SAML
Воридшавии ягонаи SAML амалӣ карда шудааст ва нуқтаҳои интиҳои стандартии провайдери хидматро намоиш медиҳад:
| Нуқтаи интиҳо | Мақсад |
|---|---|
GET /saml/metadata |
Метадодаҳои провайдери хидмат барои IdP-и шумо. |
POST /saml/acs |
Assertion Consumer Service — ҷавоби SAML-ро қабул мекунад. |
GET /saml/login |
Ҷараёни воридшавии SAML-ро оғоз мекунад. |
[!NOTE] SAML амалӣ карда шудааст, аммо дар муқобили ҳар IdP пурра ба таври зинда исбот нашудааст. Онро ҳамчун дастрас ҳисоб кунед ва пеш аз он ки дар истеҳсол ба он такя кунед, онро дар муқобили провайдери ҳувияти мушаххаси худ тасдиқ кунед.
LDAP / Active Directory
Аутентификатсияи LDAP/AD барои муҳитҳое амалӣ карда шудааст, ки корбаронро дар муқобили сервери директория аутентификатсия мекунанд.
[!NOTE] Мисли SAML, LDAP/AD амалӣ карда шудааст, аммо дар тамоми конфигуратсияҳои директория пурра ба таври зинда исбот нашудааст. Онро пеш аз пиёдакунӣ дар муқобили директорияи худ санҷед.
Таъмини SCIM
SCIM ба IdP-и шумо имкон медиҳад, ки корбаронро ба таври худкор тавассути нуқтаҳои интиҳои стандартии корбари SCIM v2 таъмин ва аз таъмин барорад:
| Нуқтаи интиҳо | Мақсад |
|---|---|
GET /scim/v2/Users |
Рӯйхат / дархости корбарони таъминшуда. |
POST /scim/v2/Users |
Эҷоди корбар. |
GET /scim/v2/Users/{id} |
Хондани як корбари ягона. |
PUT /scim/v2/Users/{id} |
Навсозии корбар. |
DELETE /scim/v2/Users/{id} |
Аз таъмин баровардани корбар. |
Таъмин тавассути SCIM директорияи корбаронро бо IdP-и шумо ҳамоҳанг нигоҳ медорад, то воридшавандагон ва тарккунандагон бидуни кори дастии админ инъикос ёбанд.
Аутентификатсияи маҳаллӣ
Вақте IdP-и берунӣ нест, AiHummer аутентификатсияи маҳаллиро дастгирӣ мекунад. Дар як
пойгоҳи додаҳои нав гейтвей ҳангоми оғози аввал як пароли якдафъаинаи admin-ро ба лог чоп
мекунад; ворид шавед ва онро фавран иваз кунед. Аутентификатсияи маҳаллӣ барои ҷойгиркуниҳои хурд ё
ҷудошуда мувофиқ аст, аммо барои созмонҳои дорои IdP, OIDC роҳи истеҳсолии тавсияшуда боқӣ
мемонад.
Интихоби равиш
| Механизм | Беҳтарин барои | Вазъият |
|---|---|---|
| OIDC | Муҳофизати API-и админ дар ҳар ҷойгиркунии ғайримаҳаллӣ | Роҳи истеҳсолии тавсияшуда |
| SAML | Корхонаҳое, ки ба SSO-и SAML стандартсозӣ шудаанд | Амалишуда; дар муқобили IdP-и худ тасдиқ кунед |
| LDAP / AD | Аутентификатсияи бар директория асосёфта | Амалишуда; дар муқобили директорияи худ тасдиқ кунед |
| SCIM | Таъмини худкори корбарон аз IdP | Амалишуда (SCIM v2 Users) |
| Аутентификатсияи маҳаллӣ | Ҷойгиркуниҳои хурд ё ҷудошуда бидуни IdP | Дарунсохт |
Минбаъд ба куҷо
- RBAC ва калидҳои API-и доирабандишуда — иҷозат додани ҳувиятҳое, ки IdP-и шумо аутентификатсия мекунад.
- Шабака, аудит ва аз шабака ҷудошуда — дарвозабандии дастрасии админ аз рӯи шабака ва нигоҳдории пайраҳаи аудит.
- Анбори махфигоҳ — он ҷое, ки эътимоднома ва токенҳо зиндагӣ мекунанд.