Перейти к основному содержимому
Настроить федерацию на стороне Keycloak
Последнее изменение:

Настроить федерацию на стороне Keycloak

В результате настройки будет создано SAML-приложение.

  1. Настройте SAML-приложение.
  2. Если при создании федерации вы отметили чекбокс Подписывать запросы аутентификации, в SAML-приложении настройте проверку цифровой подписи.

1. Настроить SAML-приложение

  1. В панели управления Keycloak войдите в аккаунт администратора (Administration Console).
  2. Перейдите в раздел Clients.
  3. Нажмите Create client.
  4. На шаге General Settings в поле Client type выберите SAML.
  5. В поле Client ID вставьте URL, на который будут перенаправляться пользователи после аутентификации: https://api.selectel.ru/v1/federations/saml/<federation_id>. Укажите <federation_id> — ID федерации на стороне Selectel, можно посмотреть в панели управления: перейдите в раздел Управление доступом → Федерации → строка федерации → поле ID.
  6. В поле Name введите имя SAML-приложения.
  7. Нажмите Next.
  8. На шаге Login Settings в поле Root URL вставьте https://api.selectel.ru/v1/federations/saml/<federation_id>
  9. В поле Home URL вставьте https://my.selectel.ru/federated-login
  10. В поле Valid Redirect URIs вставьте https://api.selectel.ru/v1/auth/federations/<federation_id>/saml/acs
  11. Нажмите Save.
  12. В блоке SAML capabilities в поле Name ID Format выберите формат идентификатора пользователя — username или email.
  13. Включите тумблеры Force POST binding и Include AuthnStatement.
  14. В блоке Signature and Encryption включите тумблер Sign assertions.
  15. Если вы не планируете настраивать проверку цифровой подписи, убедитесь, что в блоке Signing keys config выключен тумблер Client signature required.
  16. В поле Signature algorithm выберите RSA_SHA256.
  17. В поле SAML Signature Key Name выберите NONE.
  18. В блоке Logout settings включите тумблер Front channel logout.
  19. Нажмите Save.

2. Настроить проверку цифровой подписи

Настраивать проверку цифровой подписи нужно, если при создании федерации вы отметили чекбокс Подписывать запросы аутентификации.

  1. Скачайте сертификат Selectel для подписи запросов.
  2. В панели управления Keycloak перейдите в раздел Clients.
  3. Откройте страницу SAML-приложения → вкладка Keys.
  4. В блоке Signing keys config включите тумблеры Encrypt Assertions и Client signature required.
  5. В блоке Encryption keys config включите тумблер Client Signature Required.
  6. В поле Select method выберите Import.
  7. В поле Archive Format выберите Certificate PEM. Если пункт Certificate PEM отсутствует, закройте окно, нажмите RegenerateYesImport key. Пункт появится в списке.
  8. Нажмите Browse и выберите сертификат, который вы скачали на странице федерации в Selectel.
  9. Нажмите Confirm.