BearPass

Appearance

Настройка SSO

Общее

Важно

Доступно только для платных тарифов

BearPass поддерживает возможность авторизации по стандарту SSO SAML. При попытке входа через SSO, приложение попытается найти пользователя по логину. Если пользователя еще нет в системе - он будет создан и привязан к провайдеру SSO.

Чтобы настроить SSO, перейдите в соответсвующий пункт меню в административном разделе

Важно

Пользователь должен иметь право "Настройка SSO"

sso1.png

Здесь необходимо заполнить данные, получение от провайдера SSO. Пример инструкции для Google Workspace https://support.google.com/a/answer/6087519?hl=ru

Дополнительно можно сделать маппинг атрибутов пользователя из провайдера.

После активации SSO провайдера в форме входа появится кнопка "Войти через SSO"

sso_login.png

Опционально можно настроить шифрование и требование подписей запросов. В настройках со стороны провайдера это тоже должно быть включено.

sso2.png

Мультифактор

Добавьте новый ресурс "SAML-приложение":

multi1.png

Заполните название и адрес, выберите нужный вам поставщик учетных записей:

multi2.png

Скачайте файл метаданных из Мультифактора:

multi3.png

И загрузите его в BearPass:

multi4.png

Укажите ссылку на метаданные из BearPass (убедитесь, что вы активировали SSO на предыдущем шаге):

multi5.png

Настройте маппинг полей, если требуется:

multi6.png

Keycloak

Создайте нового клиента с типом SAML, в Client ID укажите урл метаданных BearPass:

key1.png

Укажите урл приложения, для редиректов используйте маску:

key2.png

Отключите Client signature required:

key3.png

Перейдите в Realm settings -> General и скачайте файл метаданных SAML по ссылке:

key4.png

Загрузите файл метаданных в BearPass и активируйте SSO:

key5.png

После этого авторизация должна заработать, но атрибуты создаваемых пользователей будут пустыми.

Если при авторизации возникает ошибка и в логах BearPass пишется ошибка Found an Attribute element with duplicated Name, измените атрибут ролей: Client Scopes -> role_list (saml) -> Mappers tab -> role list -> Single Role Attribute. Установите этот чекбокс.

Для передачи полей пользователя в BearPass нужно настроить Client scopes и добавить их к провайдеру.

Создайте новый scope для протокола SAML:

key6.png

Добавьте mapper на атрибут пользователя:

key7.png

Привяжите scope к клиенту:

key8.png

Повторите для всех нужных атрибутов и заполните маппинг полей в BearPass:

key9.png