Аутентификация через OpenID Connect. Настройка подключения и служб

Проверка адреса сервера Comindware Platform

1. Откройте раздел «Администрирование» — «Глобальная конфигурация».

2. Удостоверьтесь, что URL-адрес сервера начинается с https://.

   

Настройка API и служб Google Cloud — этап 1

1. Откройте веб-сайт https://console.developers.google.com/
2. Если проекты отсутствуют, нажмите кнопку «Create project».

3. Если имеются проекты, нажмите кнопку «Select a project» и в отобразившемся окне нажмите кнопку «New project».

   

4. Отобразится страница «New project».

5. Введите «Project name», например Client ID.

6. Нажмите кнопку «Create».

   

7. На отобразившейся странице нажмите кнопку «Enable APIs and services».

   

8. В поле «Search for APIs & Services» найдите Site Verification API.

   

9. Перейдите к разделу «Site Verification API».

   

10. Нажмите кнопку «Enable».

    

Настройка страницы согласия OAuth

1. В меню слева выберите пункт «OAuth consent screen».

2. В разделе «User type» выберите «External» и нажмите кнопку «Create».

   

Настройка сведений о приложении

1. Заполните обязательные поля разделе «App information»:

   • в поле «App name» укажите, например «Сайт Mycompany.ru»;
   • в поле «User support email» укажите, например, свой адрес эл. почты.

   

2. В разделе «App domain» в поле «Application home page» введите адрес сервера, указанный в глобальной конфигурации Comindware Platform, например https://mycompany.ru

3. В разделе «Authorized domains» нажмите кнопку «Add domain» и введите в поле «Authorized domain 1» доменное имя сервера без префикса https://, например mycompany.ru
4. В разделе «Developer contact information» в поле «Email addresses» введите, например, свой адрес эл. почты.

5. Нажмите кнопку «Save and continue».

   

Настройка запрашиваемых разрешений для приложения

1. На странице «Scopes» нажмите кнопку «Add or remove scopes».

2. В открывшейся форме установите три первых флажка и нажмите кнопку «Update».

   

3. В нижней части страницы «Scopes» нажмите кнопку «Save and continue».

   

4. На странице «Test users» кнопку «Save and continue».

   

5. На странице «Summary» проверьте сведения и нажмите кнопку «Back to dashboard».

   

6. На открывшейся странице в разделе «Publishing status» нажмите кнопку «Publish app».

7. В окне подтверждения нажмите кнопку «Confirm».

   

8. Статус публикации изменится на «In production».

   

Настройка учётных данных клиента OAuth

1. В левой панели выберите пункт «Credentials».
2. На странице «Credentials» нажмите кнопку «Create credentials».

3. В раскрывающемся меню выберите пункт «OAuth client ID»

   

4. В поле «Application type» выберите пункт «Web application».

5. В поле «Name» введите имя клиента, например «OAuth client 1».
6. В разделе «Authorized JavaScript origins» нажмите кнопку «Add URI».
7. Введите адрес сервера, указанный в глобальной конфигурации Comindware Platform, например https://mycompany.ru

8. Нажмите кнопку «Create».

   

9. Отобразится окно с учётными данными созданного клиента OAuth.

   

10. Не закрывайте эту вкладку в браузере, чтобы использовать данные с неё на последующих шагах.

11. Чтобы впоследствии посмотреть «Client ID» и «Client Secret», нажмите гиперссылку с названием клиента в таблице «OAuth 2.0 Client IDs» в разделе «Credentials».

    

Настройка подключения в Comindware Platform

1. Перейдите в раздел «Администрирование» — «Подключения».
2. Нажмите кнопку «Cоздать».

3. В раскрывающемся меню выберите пункт «Аутентификация через OpenID Connect».

   

4. Откроется окно «Новое подключение».

5. В поле «Название» введите название подключения, например «Client ID».
6. В поле «Поставщик удостоверений» выберите пункт «Google».
7. В поле «ID клиента» вставьте Client ID, скопированный из Google Cloud.
8. В поле «Ключ клиента» вставьте Client secret, скопированный из Google Cloud.
9. В поле «Домены электронной почты» оставьте домен gmail.com.
10. В поле «Группа» выбирать группу необязательно.
11. Поле «Адрес перенаправления после входа» будет заполнено автоматически после создания подключения.

12. Нажмите кнопку «Создать».

    

13. Откройте созданное подключение.

14. Скопируйте в буфер обмена адрес перенаправления после входа.

15. Нажмите кнопку «Сохранить».

    

16. Откройте страницу «Администрирование» – «Регистрация и вход».

17. Активируйте выключатель «Разрешить вход» на плитке «Google OpenID Connect».

    

18. Нажмите кнопку «Сохранить».

Настройка API и служб Google Cloud — этап 2

1. Откройте веб-сайт Google Cloud https://console.developers.google.com/
2. В левой панели выберите пункт «Credentials».
3. Откройте параметры созданного ранее клиента OAuth Client 1, нажав гиперссылку с его названием в таблице «OAuth 2.0 Client IDs».
4. В разделе «Authorized redirect URIs» нажмите кнопку «Add URI».
5. В поле «URIs 1» введите ранее скопированный адрес перенаправления после входа включая префикс https://.

6. Нажмите кнопку «Save».

   

Настройка реестра Windows для включения аутентификации через OpenID Connect в Comindware Platform

1. Запустите редактор реестра Windows: regedit.exe.
2. Откройте раздел реестра Computer -> HKEY_LOCAL_MACHINE -> SOWTWARE->Сomindware -> Instances -> имя_экземпляра_Comindware_Platform.
3. Дважды щёлкните параметр IsFederationAuthEnabled.
4. Если значение этого параметра 0, измените его на 1.

5. Нажмите кнопку «OK».

   

6. В командной строке от администратора выполните команду: iisreset /restart

7. Дождитесь перезапуска служб IIS.

   

Настройка ОС Linux для включения аутентификации через OpenID Connect в Comindware Platform

1. Перейдите в режим суперпользователя root:

   sudo -s

   или

   su -

2. Добавьте в файл /etc/hosts строку:

   "xxx.xxx.xxx.xxx" "mycompany.ru"

   Здесь xxx.xxx.xxx.xxx — IP-адрес, mycompany.ru адрес сервера Comindware Platform, указанный в глобальной конфигурации Comindware Platform (без указания протокола HTTP или HTTPS).

3. Сформируйте SSL-сертификат на сервере NGINX. Например, согласно инструкциям в статье «Генерация SSL сертификата для NGINX (openssl)».

4. Откройте для редактирования файл конфигурации NGINX:

   vim /etc/nginx/sites-available/comindware<instanceName>

5. Настройте конфигурацию SSL-сертификата аналогично следующему примеру:

   server { 
       listen 80 default; 
       listen 443 ssl; 
    
       root /var/www/<instanceName>; 
       server_name mycompany.ru; 
    
       ssl_certificate /etc/nginx/ssl/nginx.crt; 
       ssl_certificate_key /etc/nginx/ssl/nginx.key; 
    
       client_max_body_size 300m; 
       fastcgi_read_timeout 10000; 
       location / { 
           proxy_read_timeout 10000; 
                       proxy_connect_timeout 10000; 
                       proxy_send_timeout 10000; 
                       root          /var/www/<instanceName>/; 
                       fastcgi_pass  unix:/var/www/<instanceName>/App_Data/comindware.socket; 
                       include       /etc/nginx/fastcgi.conf 
                       } 
   }

6. Проверьте конфигурацию NGINX:

   nginx -t

7. Перезапустите Comindware Platform:

   systemctl restart elasticsearch nginx comindware<instanceName>

Вход в Comindware Platform

1. Откройте веб-сайт экземпляра Comindware Platform, например https://mycompany.ru

2. Нажмите кнопку «Войти как администратор».

   

3. Введите свои учётные данные и нажмите кнопку «Войти».

   

4. Выйдите из системы.

5. Отобразится страница входа с кнопкой «Войти с помощью Google».

   

6. На этом настройка входа через OpenID Connect завершена. Теперь пользователи смогут входить в Comindware Platform с помощью своих аккаунтов Google.