AiHummer
Oʻzbekcha
Kirish
v1.0.x
{ }Swagger

Korporativ SSO

v1.0.x · yangilandi 2026-06-26

AiHummer administratorlar va foydalanuvchilarni sizning identifikatsiya provayderingizga qarshi autentifikatsiya qiladi. Asosiy, ishlab chiqarish yoʻlidagi nazorat — bu admin API’ni himoya qiluvchi OIDC; tashqi IdP’siz oʻrnatishlar uchun lokal autentifikatsiya bilan birga SAML, LDAP/AD va SCIM provisioning ham amalga oshirilgan.

OIDC admin API’ni himoya qiladi

OIDC standart holda rad etish rejimida ishlaydi va /v1/admin/* ni himoya qiluvchi nazoratdir. Uni AIHUMMER_OIDC_ISSUER (va tegishli mijoz sozlamalari) bilan sozlang.

# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/

Mijozni roʻyxatdan oʻtkazish va issuer’ni ulashni bosqichma-bosqich koʻrsatadigan oidc-setup qoʻllanmasi (docs/runbooks/oidc-setup.md) mavjud.

[!DANGER] OIDC sozlanmagan holda admin API identifikatsiya uchun dev sarlavhalariga ishonadi. Bu rejim faqat lokal ishlab chiqish uchun — OIDC (yoki boshqa majburiy autentifikatsiya) old tomonda boʻlmasdan admin endpoint’ni hech qachon internetga ochmang. Har qanday lokal boʻlmagan joylashtirishdan oldin AIHUMMER_OIDC_ISSUER ni sozlang.

[!TIP] OIDC’ni IP ruxsat roʻyxati va koʻlamli API kalitlari bilan qatlamlang, shunda admin kirish identifikatsiya, tarmoq va imtiyoz orqali birgalikda darvozalansin.

SAML

SAML yagona kirish (single sign-on) amalga oshirilgan boʻlib, standart xizmat-provayder endpoint’larini taqdim etadi:

Endpoint Maqsad
GET /saml/metadata IdP’ingiz uchun xizmat-provayder metadata’si.
POST /saml/acs Assertion Consumer Service — SAML javobini qabul qiladi.
GET /saml/login SAML kirish jarayonini boshlaydi.

[!NOTE] SAML amalga oshirilgan, lekin har bir IdP’ga qarshi toʻliq jonli isbotlanmagan. Uni mavjud deb hisoblang va ishlab chiqarishda unga tayanishdan oldin oʻzingizning aniq identifikatsiya provayderingizga qarshi tekshiring.

LDAP / Active Directory

LDAP/AD autentifikatsiyasi foydalanuvchilarni katalog serveriga qarshi autentifikatsiya qiladigan muhitlar uchun amalga oshirilgan.

[!NOTE] SAML kabi, LDAP/AD amalga oshirilgan, lekin barcha katalog konfiguratsiyalari boʻylab toʻliq jonli isbotlanmagan. Joriy etishdan oldin oʻz katalogingizga qarshi sinab koʻring.

SCIM provisioning

SCIM IdP’ingizga standart SCIM v2 foydalanuvchi endpoint’lari orqali foydalanuvchilarni avtomatik tarzda provisioning qilish va olib tashlash imkonini beradi:

Endpoint Maqsad
GET /scim/v2/Users Provisioning qilingan foydalanuvchilarni roʻyxatlash / soʻrash.
POST /scim/v2/Users Foydalanuvchi yaratish.
GET /scim/v2/Users/{id} Bitta foydalanuvchini oʻqish.
PUT /scim/v2/Users/{id} Foydalanuvchini yangilash.
DELETE /scim/v2/Users/{id} Foydalanuvchini olib tashlash.

SCIM orqali provisioning foydalanuvchi katalogini IdP’ingiz bilan sinxron saqlaydi, shunda yangi qoʻshilganlar va ketganlar qoʻlda admin ishisiz aks ettiriladi.

Lokal autentifikatsiya

Tashqi IdP boʻlmaganda AiHummer lokal autentifikatsiyani qoʻllab-quvvatlaydi. Yangi maʼlumotlar bazasida shlyuz birinchi ishga tushishda bir martalik admin parolini jurnalga chiqaradi; kiring va uni darhol oʻzgartiring. Lokal autentifikatsiya kichik yoki izolyatsiyalangan joylashtirishlar uchun mos, lekin IdP’ga ega tashkilotlar uchun OIDC tavsiya etilgan ishlab chiqarish yoʻli boʻlib qoladi.

Yondashuvni tanlash

Mexanizm Eng yaxshisi Holati
OIDC Har qanday lokal boʻlmagan joylashtirishda admin API’ni himoya qilish Tavsiya etilgan ishlab chiqarish yoʻli
SAML SAML SSO’ga standartlashgan korxonalar Amalga oshirilgan; IdP’ingizga qarshi tekshiring
LDAP / AD Katalogga asoslangan autentifikatsiya Amalga oshirilgan; katalogingizga qarshi tekshiring
SCIM IdP’dan avtomatik foydalanuvchi provisioning Amalga oshirilgan (SCIM v2 Users)
Lokal autentifikatsiya IdP’siz kichik yoki izolyatsiyalangan joylashtirishlar Ichki oʻrnatilgan

Keyingisi qayerda