...
Настроить провайдера OpenID Connect для Polymatica Analytics. Процесс не отличается от настройки произвольного провайдера, но есть ряд важных параметров:
| Параметр | Значение | Зачем?Применение |
|---|---|---|
plm.login.oauth2.avanpost_permissions_resource_id | user_permissions (записан ранее) Значение должно соответствовать идентификатору объекта доступа, указанному ранее в настройках приложения в Avanpost FAM. | Если не указать, то Polymatica Analytics не сможет правильно прочитать права доступа пользователя. А Avanpost FAM может возвращать права доступа вообще произвольных приложений. |
plm.login.oauth2.providers[i].client_secret | Секрет созданного приложения. Записан на этапе создания приложения Avanpost FAM. | Без секрета невозможно проверить подлинность запроса на получение токена доступа от Polymatica Analytics к Avanpost FAM. |
plm.login.oauth2.providers[i].scope | openid profile email plm_groups permissions | Если не указать permissions, то Avanpost FAM не будет сообщать права доступа пользователя и, соответственно, их не удастся применить к учётной записи пользователя Polymatica Analytics. Если не указать plm_groups (запоминали ранее на этапе добавления приложения), то Avanpost FAM не будет сообщать список групп, в которые необходимо добавить пользователя. |
plm.login.oauth2.providers[i].flow | pkce | pkce - наиболее безопасный вариант аутентификации из общих. |
plm.login.oauth2.providers[i].claims.login | preferred_username | Если не указать, то Polymatica Analytics не сможет прочитать логин пользователя, а место хранения отличается от стандартного. |
plm.login.oauth2.providers[i].claims.fullname | name | Если не указать, то Polymatica Analytics не сможет прочитать полное имя пользователя, а место хранения отличается от стандартного. |
plm.login.oauth2.providers[i].claims.permissions | permissions | Если не указать - Polymatica Analytics не сможет прочитать права доступа пользователя. |
plm.login.oauth2.providers[i].claims.groups | plm_groups (запоминали ранее на этапе добавления scope для приложения) | Если не указать - Polymatica Analytics не сможет прочитать группы пользователей. |
plm.login.oauth2.providers[i].metadata.use_oidc_discovery | Avanpost FAM поддерживает OpenID Connect Discovery, поэтому можно сэкономить время, предоставив настройку серверу. | |
plm.login.oauth2.providers[i].metadata.url | http://srv-dev-rrsys-avanpost | Этот URI используется в качестве базового для запроса метаданных провайдера по протоколу OIDC. Используется в паре с use_oidc_discovery. |
plm.login.oauth2.providers[i].metadata.skip_validation | НЕ РЕКОМЕНДУЕТСЯ пропускать любые валидации данных, но конкретно в этом случае, похоже, система была некорректно настроена и метаданные не проходят валидацию (issuer не совпадает с хостом).Не рекомендуется использовать. Позволяет пропустить валидацию данных, например, в случае, если введённые данные не позволяют пройти валидацию | |
plm.login.oauth2.providers[i].authorization_add_redirect_parameter | Без добавления параметра редиректа сервер Avanpost FAM передаёт ошибку. | |
plm.login.oauth2.providers[i].token_add_client_secret | Отвечает за назначение роли "Администратор" всем пользователям той группы, название которой прислал Avanpost в claims | |
plm.login.oauth2.providers[i].token_add_client_secret | Без добавления этих параметров приводит к возникновению ошибки в браузере в процессе получения токена сервером от провайдера: Failed to get access token from OAuth2 provider. В консоли сервера Polymatica Analytics: ["invalid_client", "Client authentication failed (e.g., unknown client, no client authentication included, or unsupported authentication method).", ""] | |
plm.login.oauth2.providers[i].skip_token_permissions | Применяется для пропуска сброса и применения прав доступа из токенов OAuth2 после успешной аутентификации | |
plm.login.oauth2.providers[i].use_groups_whitelist | Использовать белый список групп пользователей для разрешения авторизации в Polymatica Analytics | |
plm.login.oauth2.providers[i].groups_whitelist[j] | Название группы пользователей | Добавляет группу пользователей в белый список групп пользователей, которым разрешена авторизация в Polymatica Analytics. Приращивать индекс j необходимо по правилу:
|