Когда пользователь впервые входит в iSpring Port с помощью одной из технологий единого входа (SSO), в системе создается его учетная запись или карточка. Единственное поле, которое всегда передается в iSpring Port при авторизации через SSO, — это логин.
Если у вас есть сервис для SSO (например, ADFS или Okta), который может передавать поля профиля пользователя в iSpring Port, удобно сделать так, чтобы профиль пользователя в системе заполнялся автоматически. Однако названия полей в LMS и сервисе для SSO могут различаться. Например, полю Должность в LMS будет соответствовать поле Title в сервисе для SSO.
Чтобы все поля профиля пользователя корректно заполнились, укажите соответствия между полями iSpring Port и сервиса для SSO.
- Займитесь этим во время первоначальной настройки выбранной технологии единого входа или внесите изменения позже на странице Настройки интеграции с SSO.
Читайте подробные инструкции по подключению SAML, JWT и OpenID. - В разделе Соответствие полей iSpring с внешними атрибутами SSO установите соответствие полей iSpring Port и сервиса для SSO.
При настройке раздела необходимо учитывать обязательные поля в профиле пользователя iSpring Port.
Они должны быть добавлены, и указаны атрибуты из сервиса для SSO.
В AD FS в настройке Правила Утверждения в столбце Outgoing Claim Type значения некоторых полей необходимо вводить вручную, например sub.
Добавленные поля будут синхронизироваться при входе в систему. То есть, значение поля Title из сервиса для SSO будет передаваться в поле Должность в iSpring Port.
Важно:
- Синхронизируемые данные переписывают то, что было введено вручную в поля в профайле пользователя.
Например, первоначально в профайле пользователя в поле Должность вы указали значение «специалист». После авторизации пользователя значение поменяется на то, которое передаст сервис для SSO, например, «инженер». - Если данные не передались или имя поля было введено неверно, при настройке раздела Cоответствия полей iSpring c внешними атрибутами данные в iSpring Port не обновятся.
Сообщение об ошибке не появится.
После авторизации нового пользователя, которого ранее не было в iSpring Port, пользователь не будет создан, доступ в личный кабинет сотрудника не будет предоставлен. В профайле пользователей Active Directory значение поля Email должно быть уникальным или пустым.
Поле Email может быть пустым при условии, что не является обязательным полем в профиле пользователя iSpring Port.- Авторизацию через SSO смогут пройти только доменные пользователи для настроенной AD FS.
- После авторизации пользователя через SSO в iSpring Port может отобразиться ошибка 401 Unauthorized.
Причина: личный кабинет пользователя деактивирован в LMS.
Администратору LMS необходимо активировать пользователя.
- Синхронизируемые данные переписывают то, что было введено вручную в поля в профайле пользователя.