Чтобы настроить доменную аутентификацию в KUMA и обеспечить для пользователей возможность входа в KUMA под учетной записью без указания логина и пароля, необходимо предварительно создать группу подключения и настроить правила на стороне ADFS или убедиться, что необходимые группы подключения и правила уже существуют.
После настройки на странице входа в KUMA появится кнопка Вход через ADFS.
Кнопка Вход через ADFS будет скрыта на странице входа в KUMA при следующих условиях:
Вы можете подключиться только к одному домену ADFS. Для этого требуется настроить соединение с контроллером домена.
Чтобы настроить соединение с контроллером домена ADFS:
Например, https://adfs.example.com/adfs/.well-known/openid-configuration).
В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительными правами, если дополнительные роли были назначены.
Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain
Соединение с контроллером домена Active Directory Federation Services будет настроено.
Если при попытке входа в KUMA через ADFS пользователю отображается всплывающее сообщение Access denied
или Недостаточно прав
, нажмите на кнопку Сбросить сертификат. Новый сертификат будет сформирован автоматически.
Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.
Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.
Чтобы добавить группы ролей пользователей:
После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain
.
Для каждого тенанта можно задать отдельный набор фильтров для ролей.
Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.
После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.
Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.
Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.
После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.
Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.
В начало