Настройка аутентификации при входе в систему

Интеграция SCIM Provisioning с Okta в качестве IdP

Добавление интеграции SCIM (System for Cross-domain Identity Management):

1. В Okta Admin Console выберите вкладку General и установите SCIM в качестве метода provision.

   

2. Выберите вкладку Provisioning и нажмите кнопку Edit.

   

3. В режиме редактирования настроек выберите все действия provision (Import.. и Push..), а также HTTP Header в качестве режима Authentication.

   

4. Скопируйте () запись Base URL из раздела Provisioning страницы Company Dashboard Authentication и вставьте ее в поле Okta SCIM Connector base URL.

   Скопируйте () запись API Token из раздела Provisioning страницы Company Dashboard Authentication и вставьте ее в поле Okta Authorization (в разделе HTTP HEADER).

   

5. Укажите userName в качестве Okta Unique identifier field for users.

   

6. Нажмите кнопку Test Connector Configuration (см. выше) и убедитесь, что соединение работает. Если проверка конфигурации прошла успешно, закройте окно Test, а затем сохраните конфигурацию ().

   

7. Выберите To App в дереве навигации слева, а затем параметр Edit.

   Включите параметры Create Users, Update User Attributes и Deactivate Users, затем нажмите Save.

   

Provision и депровижининг пользователей и групп:

1. Выберите вкладку Push Groups, затем нажмите кнопку Refresh App Groups.

   

2. Выберите параметр страницы Directory » Groups в главном меню.

   

   В разделе Groups вы должны увидеть и группу приложения Groups, и Workspaces как записи групп.

   

3. Создайте "native" группы Okta с теми же именами, что и группы приложения/рабочие пространства — в этом примере это импортированные группы Administrators и Workspace.

   

4. Выберите созданную группу Okta, затем нажмите кнопку Manage Apps. В окне Assign Applications to <group name> назначьте группе приложение SCIM и по завершении нажмите .

   

5. Вернитесь на страницу Groups и выберите вкладку Push Groups. Выберите Find groups by name option в меню кнопки Push Groups.

   

6. Введите имя группы (здесь Group Administrators), затем выберите вариант Link Group, чтобы связать ее с группой приложения. Сохраните эту конфигурацию связи ().

   

Управление пользователями и группами

Теперь у вас должна быть возможность добавлять участников в существующие группы приложения или удалять их из них.

1. Создайте нового пользователя Okta (Directory » People, затем выберите Add Person). Убедитесь, что у пользователя уникальный адрес электронной почты, которого нет в AltiumLive.

2. Добавьте нового пользователя в группу Okta, назначенную приложению SCIM (Directory » Groups, выберите группу, затем используйте Assign People).

3. Убедитесь, что пользователь отображается в Company Dashboard.

Чтобы создать новую группу пользователей через приложение SCIM, создайте новую группу Okta на странице Groups (), а затем на вкладке Push Groups найдите имя новой группы и выберите параметр Create Group (а не 'Link Group').

Настроенное приложение SCIM должно позволять:

• Изменять имя / фамилию пользователя и адрес электронной почты.

• Изменять состав участников группы.

• Изменять имя группы.

• Создавать группу.

• Удалять группу – отвяжите группу в разделе Push Groups, используя параметр удаления из приложения.

• Активировать или деактивировать пользователя – активированный пользователь получит письмо для активации.

Workspaces выглядят похоже на группы пользователей в Okta, но поддерживают только управление участниками. Нельзя создать новый workspace или переименовать существующий.

После добавления или удаления пользователя из группы Workspace вы можете проверить результат через интерфейс Workspace в Altium 365.

• Новый пользователь SCIM должен иметь возможность входить через SSO

• Новый пользователь SCIM должен автоматически получить приглашение в Workspace.

• Письмо-приглашение пользователю отправлено не будет.

Интеграция с приложением SAML

Microsoft Entra ID:

1. Войдите в центр администрирования Microsoft Entra.

2. Выберите Identity, а затем параметр Enterprise applications.

   

3. Создайте собственное приложение.

   

4. Выберите Users and groups, а затем Add user/group.

   

   

   

    

5. Выберите Single sign-on, Step 1, а затем Edit.

   

   

    

6. Скопируйте () записи Entity ID и Single Sign On URL из раздела Altium Sign-On Settings на странице Authentication Company Dashboard. Вставьте скопированные строки в поля Entity ID и Assertion Consumer Service URL в области SAML Configuration приложения Microsoft Entra. Убедитесь, что для этих полей установлены флажки Default, затем сохраните конфигурацию.

   

7. Скачайте созданный XML-файл Federation Metadata.

   

8. Загрузите XML-файл Federation Metadata на страницу Authentication Company Dashboard (в область 2. SAML Identity Provider configuration раздела Altium Sign-On Settings) и затем проверьте подключение интеграции SAML.

Provisioning:

1. На экране управления приложением Microsoft Entra выберите Provisioning на левой панели, затем кнопку Get started.

2. Установите значение Provision MODE в Automatic.

3. Скопируйте () записи Base URL и API Token из раздела Provisioning на странице Company Dashboard Authentication и вставьте их соответственно в поля Tenant URL и Secret Token.

   

4. Нажмите кнопку Test Connection Microsoft Entra Provisioning, и если учетные данные успешно авторизованы, Save конфигурацию.

   

5. В разделе Mappings доступны два набора сопоставления атрибутов — один для объектов Group и один для объектов User.

   

6. Выберите каждое сопоставление, чтобы просмотреть атрибуты, синхронизируемые из Microsoft Entra ID в ваше приложение. Атрибуты, выбранные как Matching properties, используются для сопоставления пользователей и групп в вашем приложении при операциях обновления. Выберите Save, чтобы применить изменения.

   

   При необходимости можно отключить синхронизацию объектов групп, отключив сопоставление Groups.

7. В разделе Settings поле Scope определяет, какие пользователи и группы синхронизируются. Выберите Sync only assigned users and groups (рекомендуется), чтобы синхронизировать только пользователей и группы, назначенные на странице Users and groups.

   

8. После завершения настройки установите Provisioning Status в положение On.

   

9. Выберите Save, чтобы запустить службу provisionирования Microsoft Entra.

Интеграция с JumpCloud в качестве провайдера удостоверений

1. В интерфейсе JumpCloud выберите SSO в дереве навигации, затем кнопку Add New Application на странице SSO.

   

2. Введите 'saml' в окне конфигурации Search, чтобы найти и установить Custom SAML App.

   

3. Задайте имя вашему экземпляру Custom SAML App — в этом примере используется метка 'Altium'.

   

4. Переключитесь на вкладку SSO в интерфейсе конфигурации JumpCloud. Скопируйте () записи Entity ID и Single Sign On URL из раздела Altium Sign-On Settings на странице Company Dashboard Authentication и вставьте их соответственно в поля SP Entity ID и Default URL .

   

5. Введите endpoint JumpCloud IDP URL и включите параметр Declare Redirect Endpoint.

   

6. Переключитесь на вкладку Identity Management в интерфейсе JumpCloud. Скопируйте () записи Base URL и API Token из раздела Provisioning на странице Company Dashboard Authentication и вставьте их соответственно в поля Base URL и Token Key. Также введите подходящий тестовый адрес электронной почты.

   

7. Выполните Test Connection, после чего в правом верхнем углу страницы появится сообщение с подтверждением (как показано ниже).

   

8. Выключите (снимите флажок) параметр Group Management, затем Activate конфигурацию.

   

   Примечание: если в верхней части страницы появляется ошибка соединения, например 'There was a problem activating Identity Management', или в нижней части страницы — 'Test filter user: unable to get or create user from service', попробуйте ввести другой тестовый адрес электронной почты, а затем снова выбрать Activate.

9. Вернувшись на вкладку SSO интерфейса JumpCloud, используйте параметр Export Metadata, чтобы скачать полученный XML-файл метаданных SAML.

   

10. На странице Authentication Company Dashboard импортируйте скачанный XML-файл метаданных, затем выполните проверку интеграции кнопкой Test Sign On. После этого должен отобразиться успешный результат проверки интеграции. После подтверждения соединения можно включить параметр Altium Sign-On Settings, а затем параметр SSO в разделе Authentication methods.

Аутентификация SSO SAML с Microsoft Administrative Domain Federated Services (AD FS)

Выполните описанные ниже шаги, чтобы настроить вход в вашу организацию Altium 365 с использованием экземпляра AD FS для аутентификации SSO.

Предварительные требования

• Административный доступ к Company Account организации в Altium 365.

• Административный доступ к экземпляру AD FS.

Настройка AD FS

1. Откройте приложение AD FS Management (обычно Start → Windows Administrative Tools → AD FS Management).

2. Перейдите в Relying Party Trusts и нажмите параметр Add Relying Party Trust... (1).

3. Во всплывающем окне обязательно выберите Claims aware (2) и нажмите Start (3).

   

4. На шаге Select Data Source выберите Enter data about the relying party manually (1) и нажмите Next (2).

   

5. Укажите отображаемое имя для отношения доверия. В этом примере в качестве отображаемого имени используется AltiumLive. В зависимости от конфигурации безопасности вы можете указать необязательный сертификат шифрования токена. В рамках этого руководства мы его использовать не будем.

   

6. На шаге Configure URL обязательно выберите параметр Enable support for the SAML 2.0 WebSSO protocol (1) и введите https://identity.live.altium.com/AssertionConsumerService в поле Relying party SAML 2.0 SSO service URL: (2). Нажмите Next (3).

   

7. На шаге Configure Identifiers укажите идентификатор для этого отношения доверия в поле ввода (1). Идентификатор необходимо взять из записи Entity ID, расположенной в области SAML Single Sign-On страницы Dashboard Authentication. Обязательно нажмите кнопку Add (2).

   

   Результат должен выглядеть следующим образом. Нажмите Next.

   

8. В зависимости от конфигурации безопасности на следующем шаге можно выбрать дополнительные политики управления доступом. В этом примере мы не будем выбирать дополнительные политики и продолжим с параметром Permit everyone.

   

9. Проверьте конфигурацию и выберите Next.

   

10. Не все настройки доступны при создании отношения доверия. Чтобы разрешить использование SHA-1 в качестве алгоритма безопасного хеширования, щелкните правой кнопкой мыши имя Relying Party Trust, которое вы только что добавили, и выберите Properties.

    

11. В окне свойств выберите вкладку Advanced (1) и установите SHA-1 в качестве алгоритма безопасного хеширования (2). Нажмите OK, чтобы сохранить изменения.

    

12. Вернувшись в окно AD FS Management, выберите добавленное вами Relaying Party Trust и выберите параметр Edic Claim Issuance Policy...

    

13. В окне Edit Claim Issuance Policy выберите Add Rule...

    

14. На шаге Choose Rule Type мастера убедитесь, что выбрано Send LDAP Attributes as Claims, затем нажмите Next.

    

15. Укажите Claim rule name (1), выберите Active Directory в качестве Attribute store (2) и выберите LDAP Attribute (3) из идентификатора, содержащего имя пользователя для Altium Account. Этот атрибут должен быть сопоставлен с Name ID в Outgoing Claim Type (3). Нажмите Finish (4).

    

    Important Note: В этом примере мы сопоставили Surname или Last name так, чтобы они содержали требуемое значение. Ваша конфигурация может отличаться.

    

16. Убедитесь, что политика выдачи утверждений сохранена, нажав OK.

    

На этом настройка AD FS завершена.

Настройка Altium 365

1. Откройте страницу Authentication Company Dashboard и загрузите файл FederationMetadata.xml, который вы ранее скачали (дополнительную информацию см. в разделе Dashboard SSO Configuration ниже). Конфигурация должна быть импортирована, и значения X509 Certificate, Identity Provider Issuer и IdP Single Sign-On URL должны отображаться. Нажмите кнопку Test Sign On , чтобы проверить настройку.

2. На экране входа введите учетные данные пользователя в соответствии с требованиями вашей организации и нажмите Sign in.

   

3. Утверждение будет отправлено обратно в Altium 365. Если на экране отображается сообщение Test SAML connection was successful!, значит конфигурация завершена корректно. Вы можете просмотреть ответ SAML, нажав кнопку See Response . Нажмите Back to Settings , чтобы вернуться на страницу Authentication.

4. На странице Authentication включите параметры Altium Sign-On Settings и SSO .

На этом настройка завершена. С этого момента пользователи вашей организации должны иметь возможность входить в Altium 365, используя AD FS вашей организации в качестве SSO IdP.

Конфигурация SSO SAML с Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Перейдите в IAM Identity Center и добавьте пользовательское приложение SAML 2.0 (Add Application).

   

   

2.  Скопируйте () записи Entity ID  и Single Sign On URL  из раздела Altium Sign-On Settings  на странице Company Dashboard Authentication  и вставьте их в настройки URL метаданных AWS. Подтвердите настройки с помощью Submit.

   

3. Загрузите файл метаданных из области IAM Identity Center metadata.

   

4. Перейдите в Edit attribute mappings.

   

5. Добавьте ${user:email} и Format как unspecified.

   

6. Создайте новых пользователей в AWS — имена пользователей должны быть в формате user@domain.com.

   Назначьте приложение созданным пользователям или группе.

   

7. Параметр Provisioning на странице Company Dashboard Authentication должен быть отключен.

   В настоящее время AWS не поддерживает автоматическое исходящее provisionирование через SCIM.

8. Убедитесь, что одни и те же пользователи существуют как на стороне Altium, так и на стороне IAM. Имена пользователей должны соответствовать формату user@domain.com.

   

9. На странице Company Dashboard Authentication загрузите XML-файл, который вы ранее скачали (дополнительную информацию см. в разделе Dashboard SSO Configuration ниже). Нажмите кнопку Test Sign On , чтобы проверить настройку.

10. Затем вы будете перенаправлены на страницу входа AWS. Введите свои учетные данные AWS. После этого вы должны быть перенаправлены обратно на Dashboard и увидеть сообщение Test SAML connection was successful! .

11. После успешной проверки включите параметры Altium Sign-On Settings и SSO .