Администраторы Enterprise Server могут настраивать и включать возможности Single Sign-On (SSO) для вашего сервера. Система конфигурации серверной части позволяет администраторам настраивать, тестировать, включать и отключать возможность SSO для пользователей сервера. Параметр SSO доступен при входе в браузерный интерфейс Enterprise Server. Если SSO настроен для пользователей сервера, он обеспечивает удобный доступ к серверу с использованием того же набора учетных данных, который применяется в системах вашей компании.
-
Если использование SSO принудительно включено (включен параметр Enforce SSO (not applied to access from localhost) на странице Admin – Settings – Authentication браузерного интерфейса), пользователям будет показана страница входа SSO сразу после перехода по адресу Enterprise Server.
-
Доступ через SSO также можно использовать при подключении к Workspace Enterprise Server из Altium Designer. Дополнительные сведения см. на странице Accessing Your Workspace.
Когда EDMS.UnifiedLogin находится в состоянии Public — обновите абзац ниже, используя исходный код сниппета 'Open Beta Feature Moves to Public'.
Обратите внимание, что для использования функции доступа SSO в Altium Designer при подключении к Workspace Enterprise Server через внешний браузер необходимо использовать подход «unified login». Эта функция находится в стадии Open Beta и доступна, когда в EDMS.UnifiedLogin включен параметр в диалоговом окне Advanced Settings dialog Altium Designer.
Дополнительные сведения о доступе к браузерному интерфейсу Enterprise Server см. на странице Exploring the Browser-based Interface.
При использовании внутреннего Identity Provider Enterprise Server должен доверять HTTPS-сертификату, используемому этим Identity Provider. В противном случае при попытке установить соединение с ним из Enterprise Server вы получите ошибку. Identity Provider от крупных поставщиков (Okta, Entra ID и т. д.) по умолчанию имеют корректные доверенные сертификаты.
SAML Single Sign-On
Когда система SSO настроена и включена в Enterprise Server, она устанавливает авторизованные удостоверения от назначенного вашей компанией Identity Provider (IdP), например Okta, OneLogin и т. д., при этом обмен утверждениями идентификации основан на стандартизированном Security Assertion Markup Language (SAML 2.0). Интерфейс входа SSO для вашей компании, если он еще не создан, обычно основан на шаблоне или примере, предоставленном IdP, — это инициирует обмен утверждениями аутентификации на основе SAML и предоставляет доступ к сервисам компании.
Когда в раскрывающемся списке SAML на странице SSOAdmin – Settings – Authentication браузерного интерфейса выбран параметр, на странице отображаются предварительно настроенные URL-адреса службы SSO Enterprise Server (Altium Metadata Configuration), а также параметр для загрузки или ручного ввода данных подключения авторизации вашего IdP (SAML Identity Provider Configuration).
Метаданные конфигурации IdP должны быть доступны у вашего Identity Provider после его настройки для интеграции с сервисами вашей компании — см. примеры интеграции IdP ниже. Чтобы настроить систему SAML SSO в Enterprise Server (если это еще не сделано), используйте кнопку 
, чтобы найти и загрузить XML-файл конфигурации SAML IdP, созданный IdP вашей компании. Загруженный XML-файл IdP анализируется системой для извлечения основных полей конфигурации (X509 Certificate, URL Identity Provider Issuer и IdP Single Sign-On URL). Либо добавьте отдельные элементы конфигурации вручную (сертификат безопасности и URL-адреса) в соответствующие поля.
SSO не включается до тех пор, пока не будет выполнен интеграционный тест, запускаемый кнопкой 
. Он проверяет процесс идентификации SSO и вход SSO вашей компании. После успешного тестирования конфигурации вы можете сохранить настройки, нажав кнопку 
(
), тем самым применив их к Enterprise Server.
Если впоследствии SSO будет отключен — вручную или в ответ на изменение конфигурации, — станет доступна кнопка , чтобы можно было повторить процесс тестирования.
Примеры интеграции с Identity Provider
Разверните сворачиваемый раздел ниже, чтобы просмотреть пошаговый пример процесса интеграции для OneLogin в качестве Identity Provider.
Integration with OneLogin
-
Войдите в OneLogin как администратор.
-
Выберите Applications, затем Add Apps.
-
Найдите 'SAML' и выберите вариант приложения SAML Test Connector (Advanced) IdP.
-
Укажите имя приложения (Display Name). Оно используется только для отображения.
-
Нажмите кнопку Save.
-
Скопируйте (
) записи Entity ID и Single Sign-On URL (Assertion Consumer Service) со страницы Admin – Settings – Authentication браузерного интерфейса Enterprise Server в поля, как указано ниже.
В настройке приложения OneLogin:
-
Вставьте приведенный выше Entity ID (имя поставщика услуг) в поле URL Audience (EntityID).
-
Вставьте приведенный выше Single Sign-On URL (Assertion Consumer Service) в поле ACS (Consumer) URL Validator.
-
Также вставьте Single Sign-On URL (Assertion Consumer Service) в поле ACS (Consumer) URL.
-
Поля RelayState, Recipient, Single Logout URL и Login URL можно оставить пустыми.
-
Убедитесь, что для параметра SAML nameID format установлено значение Email, а для SAML signature element — значение Both. Нажмите кнопку Save, чтобы подтвердить настройки.
-
Нажмите кнопку More Actions, а затем пункт меню SAML Metadata, чтобы скачать метаданные SAML Identity Provider в виде XML-файла.
-
Этот файл метаданных будет загружен на странице Admin – Settings – Authentication браузерного интерфейса Enterprise Server для настройки службы SSO OneLogin — см. ниже.
-
Если предпочтительна ручная настройка службы SSO OneLogin в Enterprise Server, необходимые параметры можно найти, выбрав пункт меню SSO в интерфейсе приложения OneLogin.
-
Следующими шагами будут добавление пользователей и назначение приложения этим пользователям.
Разверните сворачиваемый раздел ниже, чтобы просмотреть пошаговый пример процесса интеграции для Okta в качестве Identity Provider.
Integration with Okta
-
Войдите в Okta как администратор.
-
Нажмите ссылку/кнопку Admin, а затем кнопку Add Application в разделе компании Applications.
-
Нажмите кнопку Create New App.
-
Выберите SAML 2.0 в качестве Sign-on method.
-
Укажите App name. Оно используется только для отображения.
-
Обратите внимание на записи Single Sign On URL (Assertion Consumer Service) и Entity ID на странице Admin – Settings – Authentication браузерного интерфейса Enterprise Server.
-
Скопируйте () и вставьте запись Enterprise Server Single Sign-On URL в поле Single sign on URL настроек SAML в Okta.
-
Скопируйте () и вставьте запись Enterprise Server Entity ID в поле Audience URI настроек SAML в Okta.
Запись Default RelayState не требуется.
-
Установите остальные поля следующим образом:
-
Name ID format — EmailAddress.
-
Application username — (Okta) Email.
-
В разделе ATTRIBUTE STATEMENTS установите для поля Name значение: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress, а для Value значение: user.email
-
Нажмите кнопку Next и выберите параметр ..Okta customer adding an internal app.
-
Нажмите кнопку Finish.
-
Нажмите ссылку Identity Provider metadata и сохраните XML-файл метаданных на свой компьютер либо нажмите кнопку View Setup Instructions для параметров ручной настройки.
-
В разделе SAML Identity Provider configuration страницы Admin – Settings – Authentication браузерного интерфейса Enterprise Server загрузите сохраненный XML-файл метаданных или настройте отдельные разделы вручную — см. выше.
Разверните сворачиваемый раздел ниже, чтобы просмотреть пошаговый пример процесса интеграции для Microsoft Entra ID в качестве Identity Provider.
Integration with Microsoft Entra ID
-
Войдите в Microsoft Entra admin center.
-
Выберите Identity, а затем параметр Enterprise applications.
-
Создайте собственное приложение.
-
Выберите Users and groups, затем Add user/group.
-
Выберите Single sign-on, Step 1, затем Edit.
-
Скопируйте () Entity ID и Single Sign-On URL со страницы Admin – Settings – Authentication браузерного интерфейса Enterprise Server. Вставьте скопированные строки в поля Entity ID и Assertion Consumer Service URL в области SAML Configuration приложения Microsoft Entra. Убедитесь, что для этих полей установлены флажки Default, затем сохраните конфигурацию.
-
Скачайте созданный Federation Metadata XML.
-
Загрузите Federation Metadata XML на страницу Admin – Settings – Authentication браузерного интерфейса Enterprise Server, затем протестируйте соединение интеграции SAML — см. выше.
Разверните сворачиваемый раздел ниже, чтобы просмотреть пошаговый пример процесса интеграции для JumpCloud в качестве Identity Provider.
Integration with JumpCloud
-
В интерфейсе JumpCloud выберите SSO в дереве навигации, а затем нажмите кнопку Add New Application на странице SSO.
-
Введите 'saml' в поле Search окна конфигурации, чтобы найти и затем установить Custom SAML App.
-
Задайте имя для вашего экземпляра Custom SAML App — в этом примере используется метка Altium.
-
Перейдите на вкладку SSO в интерфейсе конфигурации JumpCloud и введите настройки Entity/URL со страницы Admin – Settings – Authentication браузерного интерфейса Enterprise Server, как показано.
-
Введите конечную точку JumpCloud IDP URL и включите параметр Declare Redirect Endpoint.
-
Используйте параметр Export Metadata, чтобы загрузить полученный XML-файл метаданных SAML.
-
Загрузите XML-файл метаданных на страницу Admin – Settings – Authentication браузерного интерфейса Enterprise Server, а затем проверьте подключение интеграции SAML — см. выше.
Разверните раскрывающийся раздел ниже, чтобы просмотреть пошаговый пример процесса интеграции для Microsoft Administrative Domain Federated Services (AD FS) в качестве поставщика удостоверений.
Integration with Microsoft AD FS
У вас должен быть административный доступ к экземпляру AD FS.
-
Откройте приложение AD FS Management (обычно Start → Windows Administrative Tools → AD FS Management).
-
Перейдите в Relying Party Trusts и нажмите параметр Add Relying Party Trust... (1).
-
Во всплывающем окне обязательно выберите Claims aware (2) и нажмите Start (3).
-
На шаге Select Data Source выберите Enter data about the relying party manually (1) и нажмите Next (2).
-
Укажите отображаемое имя для отношения доверия. В этом примере в качестве отображаемого имени используется AltiumLive.
-
В зависимости от конфигурации безопасности вы можете указать необязательный сертификат шифрования токенов. В рамках данного руководства мы использовать его не будем.
-
На шаге Configure URL обязательно выберите параметр Enable support for the SAML 2.0 WebSSO protocol (1) и введите в поле Relying party SAML 2.0 SSO service URL: (2) значение Single Sign-On URL, скопированное со страницы Admin – Settings – Authentication браузерного интерфейса Enterprise Server . Нажмите Next (3).
-
На шаге Configure Identifiers укажите идентификатор для этого отношения доверия в поле ввода (1). Идентификатор должен быть взят из записи Entity ID, расположенной в области Altium Metadata Configuration на странице Admin – Settings – Authentication браузерного интерфейса Enterprise Server. Обязательно нажмите кнопку Add (2).
В результате должно получиться следующее. Нажмите Next.
-
В зависимости от конфигурации безопасности на следующем шаге можно выбрать дополнительные политики управления доступом. В этом примере мы не будем выбирать никаких дополнительных политик и продолжим с параметром Permit everyone.
-
Проверьте конфигурацию и выберите Next.
-
Не все настройки доступны во время создания отношения доверия. Чтобы разрешить использование SHA-1 в качестве алгоритма безопасного хеширования, щелкните правой кнопкой мыши имя Relying Party Trust, которое вы только что добавили, и выберите Properties.
-
В окне свойств выберите вкладку Advanced (1) и установите SHA-1 в качестве алгоритма безопасного хеширования (2). Нажмите OK, чтобы сохранить изменения.
-
Вернувшись в окно AD FS Management, выберите добавленное отношение доверия проверяющей стороны и выберите параметр Edit Claim Issuance Policy....
-
В окне Edit Claim Issuance Policy выберите Add Rule...
-
На шаге Choose Rule Type мастера убедитесь, что выбрано Send LDAP Attributes as Claims, затем нажмите Next.
-
Укажите Claim rule name (1), выберите Active Directory в качестве Attribute store (2) и выберите LDAP Attribute (3) из ID, содержащий имя пользователя для пользователя Enterprise Server. Этот атрибут должен быть сопоставлен с Name ID в Outgoing Claim Type (3). Нажмите Finish (4).
Important Note: В этом примере мы сопоставили Surname или Last name, чтобы они содержали требуемое значение. Ваша конфигурация может отличаться.
-
Убедитесь, что политика выдачи утверждений сохранена, нажав OK.
-
Загрузите файл FederationMetadata.xml с соответствующего сервера.
-
Загрузите XML-файл метаданных на страницу Admin – Settings – Authentication браузерного интерфейса Enterprise Server, а затем проверьте подключение интеграции SAML — см. выше.
Разверните раскрывающийся раздел ниже, чтобы просмотреть пошаговый пример процесса интеграции для AWS IAM Identity Center в качестве поставщика удостоверений:
Integration with AWS IAM Identity Center
-
Перейдите в IAM Identity Center и добавьте пользовательское приложение Custom SAML 2.0 (Add Application).
-
Заполните настройки URL метаданных AWS, используя данные со страницы Altium SSO. Подтвердите настройки кнопкой Submit.
-
Загрузите файл метаданных из области IAM Identity Center metadata.
-
Перейдите в Edit attribute mappings.
-
Укажите атрибут, который будет содержать имя пользователя Enterprise Server, и выберите unspecified для Format.
-
Создайте новых пользователей в AWS и назначьте приложение созданным пользователям или группе.
-
Убедитесь, что одни и те же пользователи существуют как на стороне Altium, так и на стороне IAM.
-
Загрузите XML-файл метаданных на страницу Admin – Settings – Authentication браузерного интерфейса Enterprise Server, а затем проверьте подключение интеграции SAML — см. выше.
Единый вход OAuth / OIDC
Возможность SSO для вашего Enterprise Server также может быть настроена с использованием стандарта OAuth / OIDC. Когда в раскрывающемся списке OAuth / OIDC на странице Admin – Settings – Authentication браузерного интерфейса выбран параметр SSO, на странице можно ввести данные, предоставленные выбранным вами IdP.
SSO не будет включен, пока не будет выполнен тест интеграции, запускаемый кнопкой . Это проверяет процесс идентификации SSO и корпоративный вход SSO. После успешной проверки конфигурации вы можете сохранить настройки, нажав кнопку (), тем самым применив их к Enterprise Server.
Если впоследствии SSO будет отключен — вручную или в ответ на изменение конфигурации, — станет доступна кнопка , чтобы можно было повторить процесс тестирования.
При использовании Entra ID обратите внимание, что он предоставляет две версии API для конечных точек OAuth:
Вам потребуется получить правильный набор конечных точек (token/authorize/userinfo) из одного из этих вариантов. Их смешивание приведет к ошибке при попытке установить соединение с Entra ID из Enterprise Server.
Локализовано с помощью ИИ