Настройка аутентификации входа в систему

Интеграция SCIM Provisioning с Okta в качестве IdP

Добавление интеграции SCIM (System for Cross-domain Identity Management):

1. В Okta Admin Console выберите вкладку General и установите SCIM в качестве метода provisioning.

   

2. Выберите вкладку Provisioning и нажмите кнопку Edit.

   

3. В режиме редактирования настроек выберите все действия provisioning (опции Import.. и Push..) и установите HTTP Header в качестве режима Authentication.

   

4. Скопируйте () запись Base URL из раздела Provisioning на странице Authentication Company Dashboard и вставьте ее в поле SCIM Connector base URL Okta.

   Скопируйте () запись API Token из раздела Provisioning на странице Authentication Company Dashboard и вставьте ее в поле Authorization Okta (в разделе HTTP HEADER).

   

5. Укажите userName в качестве Unique identifier field for users Okta.

   

6. Нажмите кнопку Test Connector Configuration (см. выше) и убедитесь, что соединение работает. Если тест конфигурации прошел успешно, закройте окно Test и затем сохраните конфигурацию ().

   

7. В дереве навигации слева выберите To App, затем опцию Edit.

   Включите опции Create Users, Update User Attributes и Deactivate Users, затем нажмите Save.

   

Provisioning и de-provisioning пользователей и групп:

1. Выберите вкладку Push Groups, затем нажмите кнопку Refresh App Groups.

   

2. В главном меню выберите пункт страницы Directory » Groups.

   

   В разделе Groups вы должны увидеть и приложение Groups, и Workspaces как записи групп.

   

3. Создайте «нативные» группы Okta с теми же именами, что и группы приложения/рабочие пространства — в этом примере это импортированные группы Administrators и Workspace.

   

4. Выберите созданную группу Okta и нажмите кнопку Manage Apps. В окне Assign Applications to <group name> назначьте SCIM Application этой группе и нажмите по завершении.

   

5. Вернитесь на страницу Groups и выберите вкладку Push Groups. Выберите Find groups by name option в меню кнопки Push Groups.

   

6. Введите имя группы (здесь Group Administrators), затем выберите опцию Link Group, чтобы связать ее с группой приложения. Сохраните конфигурацию этой связи ().

   

Управление пользователями и группами

Теперь вы должны иметь возможность добавлять участников в существующие группы приложения или удалять участников из них.

1. Создайте нового пользователя Okta (Directory » People, затем выберите Add Person). Убедитесь, что у пользователя уникальный адрес электронной почты, которого нет в AltiumLive.

2. Добавьте нового пользователя в группу Okta, которая назначена SCIM‑приложению (Directory » Groups, выберите группу, затем используйте Assign People).

3. Проверьте, что пользователь отображается в Company Dashboard.

Чтобы создать новую группу пользователей через SCIM‑приложение, создайте новую группу Okta на странице Groups (), а затем на вкладке Push Groups найдите имя новой группы и выберите опцию Create Group (а не «Link Group»).

Настроенное SCIM‑приложение должно позволять вам:

• Изменять имя/фамилию пользователя и адрес электронной почты.

• Изменять состав участников группы.

• Изменять имя группы.

• Создавать группу.

• Удалять группу — отвяжите группу в разделе Push Groups, используя опцию delete from app.

• Активировать или деактивировать пользователя — активированный пользователь получит письмо для активации.

Рабочие пространства (Workspaces) выглядят похоже на группы пользователей в Okta, но поддерживают только управление членством. Вы не можете создать новое рабочее пространство или переименовать существующее.

После добавления или удаления пользователя из группы Workspace вы можете проверить результат через интерфейс Altium 365 Workspace.

• Новый SCIM‑пользователь должен иметь возможность входа через SSO

• Новый SCIM‑пользователь должен быть автоматически приглашён в Workspace.

• Письмо‑приглашение пользователю отправлено не будет.

Интеграция с Microsoft Entra ID

SAML‑приложение:

1. Войдите в Microsoft Entra admin center.

2. Выберите Identity, а затем опцию Enterprise applications.

   

3. Создайте собственное приложение.

   

4. Выберите Users and groups, а затем Add user/group.

   

   

   

    

5. Выберите Single sign-on, Step 1, а затем Edit.

   

   

    

6. Скопируйте () значения Entity ID и Single Sign On URL из раздела Altium Sign-On Settings на странице Authentication Company Dashboard. Вставьте скопированные строки в поля Entity ID и Assertion Consumer Service URL в области SAML Configuration приложения Microsoft Entra. Убедитесь, что для этих полей установлены флажки Default, затем сохраните конфигурацию.

   

7. Скачайте созданный Federation Metadata XML.

   

8. Загрузите Federation Metadata XML на страницу Authentication Company Dashboard (область 2. SAML Identity Provider configuration раздела Altium Sign-On Settings) и затем протестируйте подключение SAML‑интеграции.

Провижининг:

1. На экране управления приложением Microsoft Entra выберите Provisioning на левой панели, затем нажмите кнопку Get started.

2. Установите Provision MODE в значение Automatic.

3. Скопируйте () значения Base URL и API Token из раздела Provisioning на странице Company Dashboard Authentication и вставьте их в поля Tenant URL и Secret Token соответственно.

   

4. Нажмите кнопку Microsoft Entra Provisioning Test Connection, и если учётные данные успешно авторизованы, Save конфигурацию.

   

5. В разделе Mappings доступны два набора сопоставлений атрибутов — один для объектов Group и один для объектов User.

   

6. Выберите каждое сопоставление, чтобы просмотреть атрибуты, которые синхронизируются из Microsoft Entra ID в ваше приложение. Атрибуты, выбранные как Matching properties, используются для сопоставления пользователей и групп в вашем приложении при операциях обновления. Выберите Save, чтобы применить любые изменения.

   

   При необходимости можно отключить синхронизацию объектов групп, отключив сопоставление Groups.

7. В разделе Settings поле Scope определяет, какие пользователи и группы синхронизируются. Выберите Sync only assigned users and groups (рекомендуется), чтобы синхронизировать только пользователей и группы, назначенные на странице Users and groups.

   

8. После завершения настройки установите Provisioning Status в On.

   

9. Выберите Save, чтобы запустить службу провижининга Microsoft Entra.

Интеграция с JumpCloud в качестве поставщика удостоверений

1. В интерфейсе JumpCloud выберите SSO в дереве навигации, затем нажмите кнопку Add New Application на странице SSO.

   

2. Введите «saml» в поле Search окна конфигурации, чтобы найти и затем установить Custom SAML App.

   

3. Задайте имя вашему экземпляру Custom SAML App — в этом примере метка «Altium».

   

4. Перейдите на вкладку SSO в интерфейсе конфигурации JumpCloud. Скопируйте () значения Entity ID и Single Sign On URL из раздела Altium Sign-On Settings на странице Company Dashboard Authentication и вставьте их в поля SP Entity ID и Default URL соответственно.

   

5. Введите endpoint JumpCloud IDP URL и включите опцию Declare Redirect Endpoint.

   

6. Перейдите на вкладку Identity Management в интерфейсе JumpCloud. Скопируйте () значения Base URL и API Token из раздела Provisioning на странице Company Dashboard Authentication и вставьте их в поля Base URL и Token Key соответственно. Также введите подходящий тестовый адрес электронной почты.

   

7. Выполните Test Connection, после чего в правом верхнем углу страницы появится сообщение‑подтверждение (как показано ниже).

   

8. Отключите (снимите флажок) опцию Group Management, затем Activate конфигурацию.

   

   Примечание: если вы получаете ошибку подключения, например «There was a problem activating Identity Management» в верхней части страницы или «Test filter user: unable to get or create user from service» в нижней части страницы, попробуйте ввести другой тестовый адрес электронной почты и затем снова выбрать Activate.

9. Вернувшись в интерфейс JumpCloud на вкладку SSO, используйте опцию Export Metadata, чтобы скачать получившийся файл SAML metadata XML.

   

10. На странице Authentication Company Dashboard импортируйте скачанный файл metadata XML, затем запустите тест интеграции кнопкой Test Sign On. После этого должен отобразиться успешный результат теста интеграции. После подтверждения подключения вы можете включить опцию Altium Sign-On Settings, а затем опцию SSO в разделе Authentication methods.

SSO SAML‑аутентификация с Microsoft Administrative Domain Federated Services (AD FS)

Выполните шаги ниже, чтобы настроить вход в вашу организацию Altium 365 с использованием вашего экземпляра AD FS для SSO‑аутентификации.

Предварительные требования

• Административный доступ к Company Account организации в Altium 365.

• Административный доступ к экземпляру AD FS.

Настройка AD FS

1. Откройте приложение AD FS Management (обычно Start → Windows Administrative Tools → AD FS Management).

2. Перейдите в Relying Party Trusts и нажмите опцию Add Relying Party Trust... (1).

3. Во всплывающем окне убедитесь, что выбрано Claims aware (2), и нажмите Start (3).

   

4. На шаге Select Data Source выберите Enter data about the relying party manually (1) и нажмите Next (2).

   

5. Укажите отображаемое имя для доверия (trust). В этом примере в качестве отображаемого имени используется AltiumLive.

   

6. В зависимости от вашей конфигурации безопасности вы можете указать необязательный сертификат шифрования токена. Для целей этого руководства мы его использовать не будем.

   

7. На шаге Configure URL убедитесь, что выбрана опция Enable support for the SAML 2.0 WebSSO protocol (1), и введите https://identity.live.altium.com/AssertionConsumerService в поле Relying party SAML 2.0 SSO service URL: (2). Нажмите Next (3).

   

8. На шаге Configure Identifiers укажите идентификатор для этого доверия в поле ввода (1). Идентификатор нужно взять из значения Entity ID, расположенного в области SAML Single Sign-On на странице Dashboard Authentication. Убедитесь, что нажали кнопку Add (2).

   

   Результат должен выглядеть следующим образом. Нажмите Next.

   

9. В зависимости от вашей конфигурации безопасности на следующем шаге можно выбрать необязательные политики управления доступом. В этом примере мы не будем выбирать дополнительные политики и продолжим с опцией Permit everyone.

   

10. Проверьте конфигурацию и выберите Next.

    

11. Не все настройки доступны во время настройки доверия. Чтобы разрешить использование SHA-1 в качестве алгоритма безопасного хэширования, щёлкните правой кнопкой мыши по имени Relying Party Trust, которое вы только что добавили, и выберите Properties.

    

12. В окне свойств выберите вкладку Advanced (1) и установите SHA-1 в качестве алгоритма безопасного хэширования (2). Нажмите OK, чтобы сохранить изменения.

    

13. Вернувшись в окно AD FS Management, выберите добавленный вами Relaying Party Trust и выберите опцию Edic Claim Issuance Policy...

    

14. В окне Edit Claim Issuance Policy выберите Add Rule...

    

15. На шаге Choose Rule Type мастера убедитесь, что выбрано Send LDAP Attributes as Claims, затем нажмите Next.

    

16. Предоставьте Claim rule name (1), выберите Active Directory в качестве Attribute store (2) и выберите LDAP Attribute (3) из ID, который содержит имя пользователя для Altium Account. Этот атрибут должен быть сопоставлен с Name ID в Outgoing Claim Type (3). Нажмите Finish (4).

    

    Important Note: В этом примере мы сопоставили Surname или Last name, чтобы они содержали требуемое значение. Ваша конфигурация может отличаться.

    

17. Убедитесь, что политика выдачи утверждений сохранена, нажав OK.

    

На этом настройка AD FS завершена.

Настройка Altium 365

1. Откройте страницу Authentication Company Dashboard и загрузите файл FederationMetadata.xml, который вы скачали ранее (см. раздел Dashboard SSO Configuration ниже для получения дополнительной информации). Конфигурация должна импортироваться, и значения X509 Certificate, Identity Provider Issuer и IdP Single Sign-On URL должны быть видны. Нажмите кнопку Test Sign On , чтобы протестировать настройку.

2. На экране входа укажите учетные данные пользователя в соответствии с требованиями вашей организации и нажмите Sign in.

   

3. Утверждение будет отправлено обратно в Altium 365. Если на экране отображается сообщение Test SAML connection was successful!, значит конфигурация выполнена правильно. Вы можете просмотреть ответ SAML, нажав кнопку See Response . Нажмите Back to Settings , чтобы вернуться на страницу Authentication.

4. На странице Authentication включите параметры Altium Sign-On Settings и SSO .

На этом настройка завершена. С этого момента пользователи вашей организации должны иметь возможность входить в Altium 365, используя AD FS вашей организации в качестве SSO IdP.

Конфигурация SSO SAML с Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Перейдите в IAM Identity Center и добавьте пользовательское приложение SAML 2.0 (Add Application).

   

   

2.  Скопируйте () записи Entity ID  и Single Sign On URL  из раздела Altium Sign-On Settings  страницы Company Dashboard Authentication  и вставьте их в настройки URL метаданных AWS. Подтвердите настройки с помощью Submit.

   

3. Скачайте файл метаданных из области IAM Identity Center metadata.

   

4. Перейдите в Edit attribute mappings.

   

5. Добавьте ${user:email} и Format как unspecified.

   

6. Создайте новых пользователей в AWS — имена пользователей должны быть в формате user@domain.com.

   Назначьте приложение созданным пользователям или группе.

   

7. Параметр Provisioning на странице Company Dashboard Authentication должен быть выключен.

   В настоящее время AWS не поддерживает автоматическое исходящее провижининг (outbound provisioning) через SCIM.

8. Убедитесь, что одни и те же пользователи существуют как на стороне Altium, так и на стороне IAM. Пользователи должны быть названы в соответствии с форматом user@domain.com.

   

9. На странице Company Dashboard Authentication загрузите XML-файл, который вы скачали ранее (см. раздел Dashboard SSO Configuration ниже для получения дополнительной информации). Нажмите кнопку Test Sign On , чтобы протестировать настройку.

10. Затем вы будете перенаправлены на страницу входа AWS. Введите учетные данные пользователя AWS. Вы должны быть перенаправлены обратно в Dashboard и увидеть сообщение Test SAML connection was successful! .

11. После успешного теста включите параметры Altium Sign-On Settings и SSO .