Добрый день.

В документации bmponline написано, что 

В bpm’online реализована поддержка протокола SAML 2.0, благодаря чему возможно использование любого провайдера идентификации, совместимого с SAML 2.0.

Но детально описана интеграция только с ADFS и oneLogin. Где и как можно почитать про интеграцию с другими сервисами по протоколу SAML 2.0, может быть есть примеры?

 

Нравится

7 комментариев

Добрый день, 



Планируется отдельная статья по настройке SSO с GSuite. На текущий момент выполняли проверку работы SSO с GSuite - базовые кейсы входа работают корректно. На будущие версии планируется доработать поддержку Just In Time User Provisioning, т.к. GSuite отдает SAML атрибуты несколько иначе, чем другие провайдеры. Вы можете обратиться в поддержку за инструкцией по настройке, пока данная статься не опубликована в Академии.

Nikolay Kostruba,

Спасибо, я так понимаю там будет статья по настройке готового провайдера. Можно ли будет его использовать для авторизации через Google-аккаунты? будет ли описание разработки своих кастомных провайдеров SSO?

Добрый день, 



Верно, планируется описание настроек для работы SSO с GSuite.



Уточните, пожалуйста, что подразумеваете под разработкой кастомных провайдеров SSO. Сейчас в продукте есть поддержка SAML 2.0. Благодаря этому bpm'online умеет выступать в роли Service Provider при SAML SSO сценариях. Вопрос в том как реализовать свой SAML 2.0 Identity Provider (сервис аналогичный GSuite, OneLogin, Azure AD и пр.) или как добавить в bpm'online еще другой провайдер идентификации (не SAML, а другой протокол, например, OAuth или OpenID)?

Nikolay Kostruba,

Добрый день.

Я пока разбираюсь в вопросе, верхнеуровнево задача сделать возможность авторизации через аккаунт google.

Насколько я успел разобраться, только GSuit, OneLogin поддерживают SAML, а авторизация Google работает через OAuth 2.0. Для того, что бы решить мою задачу необходимо реализовать в bpmonline работу с OAuth 2.0. Вопрос - правильно ли я понял? Как это сделать, есть ли примеры? 

В целом - верно, GSuite и OneLogin поддерживают SAML и могут быть интегрированы с коробочным продуктом без доработок. Поддержка OAuth2.0 в продукте есть в планах roadmap. Я уведомлю команду развивающий этот блок о запросе. Возможно, сможем порекомендовать какое-то решение, если Вы подробнее будущий сценарий работы.

На текущий момент не совсем понятно какие именно кейсы хотите реализовать. Это будет вход в bpm'online с использованием Google учетной записи? Если да, то не совсем понятно как вы планируете их администрировать (заводить/удалять), т.к. если учетная запись не входит в GSuite, то вы не можете ими управлять. Или хотите получать доступ к ресурсам Google от имени пользователя bpm'online? Например, доступ к файлам Drive или Календарю (здесь тоже применим OAuth).

Nikolay Kostruba,

Для начала нам нужен вход уже зарегистрированных пользователей, которых настроит вручную администратор через саму bpm, в дальнейшем возможно понадобится автоматическая регистрация с урезанными правами. А когда примерно планируется сделать поддержку OAuth 2.0 штатными средствами?

Здравствуйте!

Рекомендуем Вам обратиться в службу технической поддержки по адресу support@terrasoft.ru для более детальной консультации и примерами реализации.

Показать все комментарии