Korporativ SSO
AiHummer administratorlar va foydalanuvchilarni sizning identifikatsiya provayderingizga qarshi autentifikatsiya qiladi. Asosiy, ishlab chiqarish yoʻlidagi nazorat — bu admin API’ni himoya qiluvchi OIDC; tashqi IdP’siz oʻrnatishlar uchun lokal autentifikatsiya bilan birga SAML, LDAP/AD va SCIM provisioning ham amalga oshirilgan.
OIDC admin API’ni himoya qiladi
OIDC standart holda rad etish rejimida ishlaydi va /v1/admin/* ni himoya
qiluvchi nazoratdir. Uni AIHUMMER_OIDC_ISSUER (va tegishli mijoz sozlamalari)
bilan sozlang.
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/
Mijozni roʻyxatdan oʻtkazish va issuer’ni ulashni bosqichma-bosqich
koʻrsatadigan oidc-setup qoʻllanmasi (docs/runbooks/oidc-setup.md) mavjud.
[!DANGER] OIDC sozlanmagan holda admin API identifikatsiya uchun dev sarlavhalariga ishonadi. Bu rejim faqat lokal ishlab chiqish uchun — OIDC (yoki boshqa majburiy autentifikatsiya) old tomonda boʻlmasdan admin endpoint’ni hech qachon internetga ochmang. Har qanday lokal boʻlmagan joylashtirishdan oldin
AIHUMMER_OIDC_ISSUERni sozlang.
[!TIP] OIDC’ni IP ruxsat roʻyxati va koʻlamli API kalitlari bilan qatlamlang, shunda admin kirish identifikatsiya, tarmoq va imtiyoz orqali birgalikda darvozalansin.
SAML
SAML yagona kirish (single sign-on) amalga oshirilgan boʻlib, standart xizmat-provayder endpoint’larini taqdim etadi:
| Endpoint | Maqsad |
|---|---|
GET /saml/metadata |
IdP’ingiz uchun xizmat-provayder metadata’si. |
POST /saml/acs |
Assertion Consumer Service — SAML javobini qabul qiladi. |
GET /saml/login |
SAML kirish jarayonini boshlaydi. |
[!NOTE] SAML amalga oshirilgan, lekin har bir IdP’ga qarshi toʻliq jonli isbotlanmagan. Uni mavjud deb hisoblang va ishlab chiqarishda unga tayanishdan oldin oʻzingizning aniq identifikatsiya provayderingizga qarshi tekshiring.
LDAP / Active Directory
LDAP/AD autentifikatsiyasi foydalanuvchilarni katalog serveriga qarshi autentifikatsiya qiladigan muhitlar uchun amalga oshirilgan.
[!NOTE] SAML kabi, LDAP/AD amalga oshirilgan, lekin barcha katalog konfiguratsiyalari boʻylab toʻliq jonli isbotlanmagan. Joriy etishdan oldin oʻz katalogingizga qarshi sinab koʻring.
SCIM provisioning
SCIM IdP’ingizga standart SCIM v2 foydalanuvchi endpoint’lari orqali foydalanuvchilarni avtomatik tarzda provisioning qilish va olib tashlash imkonini beradi:
| Endpoint | Maqsad |
|---|---|
GET /scim/v2/Users |
Provisioning qilingan foydalanuvchilarni roʻyxatlash / soʻrash. |
POST /scim/v2/Users |
Foydalanuvchi yaratish. |
GET /scim/v2/Users/{id} |
Bitta foydalanuvchini oʻqish. |
PUT /scim/v2/Users/{id} |
Foydalanuvchini yangilash. |
DELETE /scim/v2/Users/{id} |
Foydalanuvchini olib tashlash. |
SCIM orqali provisioning foydalanuvchi katalogini IdP’ingiz bilan sinxron saqlaydi, shunda yangi qoʻshilganlar va ketganlar qoʻlda admin ishisiz aks ettiriladi.
Lokal autentifikatsiya
Tashqi IdP boʻlmaganda AiHummer lokal autentifikatsiyani qoʻllab-quvvatlaydi.
Yangi maʼlumotlar bazasida shlyuz birinchi ishga tushishda bir martalik admin
parolini jurnalga chiqaradi; kiring va uni darhol oʻzgartiring. Lokal
autentifikatsiya kichik yoki izolyatsiyalangan joylashtirishlar uchun mos, lekin
IdP’ga ega tashkilotlar uchun OIDC tavsiya etilgan ishlab chiqarish yoʻli
boʻlib qoladi.
Yondashuvni tanlash
| Mexanizm | Eng yaxshisi | Holati |
|---|---|---|
| OIDC | Har qanday lokal boʻlmagan joylashtirishda admin API’ni himoya qilish | Tavsiya etilgan ishlab chiqarish yoʻli |
| SAML | SAML SSO’ga standartlashgan korxonalar | Amalga oshirilgan; IdP’ingizga qarshi tekshiring |
| LDAP / AD | Katalogga asoslangan autentifikatsiya | Amalga oshirilgan; katalogingizga qarshi tekshiring |
| SCIM | IdP’dan avtomatik foydalanuvchi provisioning | Amalga oshirilgan (SCIM v2 Users) |
| Lokal autentifikatsiya | IdP’siz kichik yoki izolyatsiyalangan joylashtirishlar | Ichki oʻrnatilgan |
Keyingisi qayerda
- RBAC va koʻlamli API kalitlari — IdP’ingiz autentifikatsiya qiladigan identifikatorlarni avtorizatsiya qiling.
- Tarmoq, audit va havodan uzilgan — admin kirishni tarmoq orqali darvozalang va audit izini saqlang.
- Maxfiy maʼlumotlar ombori — hisob maʼlumotlari va tokenlar qayerda yashaydi.