Авторизация с помощью SAML

iSpring Learn позволяет использовать SAML для реализации единого входа.

Важно: авторизация с помощью SAML не работает в мобильном приложении.

Чтобы настроить технологию SAML в вашем аккаунте:

1. Войдите в раздел Настройки, затем откройте вкладку Интеграции и в разделе Технология для авторизации пользователей нажмите на кнопку Настроить.
   
   
   
   
2. Отметьте Разрешить вход с использованием SAML.
   
   
   
   

3. Заполните форму, указав URL и другие детали вашего поставщика учётных записей. Это тот ресурс, который вы используете для первоначальной авторизации на вашем корпоративном портале.

   

   Metadata Url	Адрес вашего IdP-сервера, указывающий на файл с мета-данными.
   Sign On Url	Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления логина.
   Logout Url	Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления выхода.
   Certificate Fingerprint	Сокращённая версия сертификата открытого ключа проверки электронной подписи. Используется для подтверждения подписей запросов, исходящих от поставщика учётных записей (IdP). Подробнее о сертификатах fingerprint здесь.
   Перенаправлять пользователей на страницу логинации, заданную согласно SSO	Если эта опция включена, вход в ваш аккаунт iSpring Learn будет производиться на странице https://yourcompany.ispringlearn.ru/sso/login.
   Добавить на боковую панель ссылку для перехода на основной сайт	На боковой панели появится ссылка на ресурс, который укажет администратор.

4. Нажмите Сохранить.

Настройка SAML на сервере

Мы рекомендуем использовать библиотеку https://simplesamlphp.org/ для настройки IdP-сервера (IdP - англ. Identity Provider, рус. поставщик идентификаторов) для настройки авторизации через SAML 2.0.

Настройка поставщика услуг

Настройка iSpring Learn производится специалистами на нашей стороне. Просто предоставьте нам следующие данные:

1. URL-адрес поставщика поставщика учётных записей (IdP).

2. SSL сертификат (server.crt).

3. Секретный ключ (server.pem).

4. certFingerprint для быстрой проверки.

Настройка поставщика удостоверений

Для настройки поставщика учётных записей (IdP) для осуществления авторизации выполните следующие действия:

1. Включите поддержку SAML 2.0 и Shibboleth 1.3 в файле config/config.php

   'enable.saml20-idp' => true, 'enable.shib13-idp' => true,

2. Включите модуль авторизации. Различные модули авторизации находятся в папке modules/. Откройте папку нужного метода и создайте в ней пустой файл с именем enabled.

   
   

3. Настройте модуль авторизации в файле config/authsources.php. 

   Важно: email — обязательный атрибут.

   $config = array( 'example-userpass' => array( 'exampleauth:UserPass', 'student:studentpass' => array( 'uid' => array('student'), 'email' => 'student@example.com', 'eduPersonAffiliation' => array('member', 'student'), ), 'employee:employeepass' => array( 'uid' => array('employee'), 'email' => 'employee@example.com', 'eduPersonAffiliation' => array('member', 'employee'), ), ), );

4. Настройте IdP в файле конфигурации saml20-idp-hosted по примеру.

   'attributes.NameFormat' => 'urn:oasis:names:tc:SAML:2.0:attrname-format:uri', 'authproc' => array( // Convert LDAP names to oids. 100 => array('class' => 'core:AttributeMap', 'name2oid'), ),

5. Добавьте информацию о поставщике услуг в файл metadata/saml20-sp-remote.php.

   $metadata['https://sp.example.org/simplesaml/module.php/saml/sp/metadata.php/default-sp'] = array( 'AssertionConsumerService' => 'https://sp.example.org/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp', 'SingleLogoutService' => 'https://sp.example.org/simplesaml/module.php/saml/sp/saml2-logout.php/default-sp', );