AiHummer Корпоративный SSO
AiHummer аутентифицирует администраторов и пользователей через ваш identity-провайдер. Основной, продакшен-путь — это OIDC, защищающий admin API; SAML, LDAP/AD и SCIM-провижининг также реализованы, наряду с локальной аутентификацией для конфигураций без внешнего IdP.
OIDC защищает admin API
OIDC работает по принципу deny-by-default и является механизмом, защищающим
/v1/admin/*. Настройте его через AIHUMMER_OIDC_ISSUER (и связанные настройки
клиента).
# /home/.aihummer/etc/gateway.env
AIHUMMER_OIDC_ISSUER=https://idp.example.com/Есть runbook oidc-setup (docs/runbooks/oidc-setup.md), который проводит
через регистрацию клиента и подключение issuer.
[!DANGER] Без настроенного OIDC admin API доверяет идентичности из dev-заголовков. Этот режим — только для локальной разработки — никогда не выставляйте административный эндпоинт в интернет без OIDC (или другой принудительной аутентификации) перед ним. Настройте
AIHUMMER_OIDC_ISSUERдо любого нелокального развёртывания.
[!TIP] Наслаивайте OIDC с IP-allowlist и scoped API-ключами, чтобы доступ к админке ограничивался идентичностью, сетью и привилегиями вместе.
SAML
SAML single sign-on реализован и предоставляет стандартные эндпоинты service-provider:
| Эндпоинт | Назначение |
|---|---|
GET /saml/metadata | Метаданные service-provider для вашего IdP. |
POST /saml/acs | Assertion Consumer Service — принимает SAML-ответ. |
GET /saml/login | Инициирует поток входа по SAML. |
[!NOTE] SAML реализован, но не полностью проверен вживую на каждом IdP. Рассматривайте его как доступный и проверьте на вашем конкретном identity-провайдере, прежде чем полагаться на него в продакшене.
LDAP / Active Directory
Аутентификация LDAP/AD реализована для сред, где пользователи аутентифицируются по каталожному серверу.
[!NOTE] Как и SAML, LDAP/AD реализован, но не полностью проверен вживую во всех конфигурациях каталога. Протестируйте на своём каталоге перед развёртыванием.
SCIM-провижининг
SCIM позволяет вашему IdP автоматически создавать и удалять пользователей через стандартные эндпоинты SCIM v2 для пользователей:
| Эндпоинт | Назначение |
|---|---|
GET /scim/v2/Users | Список / запрос провижинённых пользователей. |
POST /scim/v2/Users | Создать пользователя. |
GET /scim/v2/Users/{id} | Прочитать одного пользователя. |
PUT /scim/v2/Users/{id} | Обновить пользователя. |
DELETE /scim/v2/Users/{id} | Деактивировать пользователя. |
Провижининг через SCIM держит каталог пользователей синхронным с вашим IdP, так что приходящие и уходящие сотрудники отражаются без ручной работы администратора.
Локальная аутентификация
Когда внешнего IdP нет, AiHummer поддерживает локальную аутентификацию. На
чистой базе данных gateway печатает одноразовый пароль admin в лог при первом
старте; войдите и сразу смените его. Локальная аутентификация подходит для
небольших или изолированных развёртываний, но для организаций с IdP
рекомендуемым продакшен-путём остаётся OIDC.
Как выбрать подход
| Механизм | Подходит для | Статус |
|---|---|---|
| OIDC | Защита admin API в любом нелокальном развёртывании | Рекомендуемый продакшен-путь |
| SAML | Предприятия, стандартизированные на SAML SSO | Реализован; проверьте на вашем IdP |
| LDAP / AD | Аутентификация на основе каталога | Реализован; проверьте на вашем каталоге |
| SCIM | Автоматический провижининг пользователей из IdP | Реализован (SCIM v2 Users) |
| Локальная | Небольшие или изолированные развёртывания без IdP | Встроена |
Куда дальше
- RBAC и scoped API-ключи — авторизуйте идентичности, которые аутентифицирует ваш IdP.
- Сеть, аудит и air-gapped — ограничьте доступ к админке по сети и ведите журнал аудита.
- Vault для секретов — где живут доступы и токены.