Kaiten
Go to Kaiten
База знаний КайтенНастройка SSO

Настройка SSO «LDAP»

Зайдите в настройки компании и нажмите «Добавить новый способ аутентификации».

Выберите тип аутентификации LDAP:

  1. В поле domains введите домены пользователей, для которых будет использован данный метод аутентификации (Допустим у пользователей следующие емейлы - test@test1.ru, test@test2.ru - тогда поле Domains должно содержать test1.ru,test2.ru)

Обратите внимание: для email с указанными доменами стандартные способы аутентификации в Kaiten (по паролю и PIN-коду) будут недоступны.

  1. В поле url введите адрес для соединения с сервером по LDAP (пример: ldap://0.0.0.0:389)

  2. В поле bindDN введите имя (Distinguished Name с правами на поиск пользователей) с помощью которого будет проходить аутентификация (пример: cn=admin,dc=ramhlocal,dc=com)

  3. В поле bindCredentials введите пароль, который будет использоваться для bindDN

  4. В поле searchBase введите данные для сужения поиска (например: ou=users,dc=ramhlocal,dc=com)

  5. В поле searchFilter введите фильтр, который позволит из списка пользователей выбрать нужного, имя пользователя/email будет доступно в плейсхолдере {{username}} (Пример для open ldap: (|(mail={{username}})(cn={{username}})), пример для microsoft AD: (|(mail={{username}})(sAMAccountName={{username}})))

Остальные поля являются опциональными.

Поле SearchAttributes используется чтобы сузить поля, которые отдает сервер. В случае если вы будете указывать поля - минимальный необходимый набор полей - cn, mail, sAMAccountName,member (cn - Common Name, используется для имени пользователя, mail (Email)). В случае использования в полях других аттрибутов из AD - они обязательно должны быть представлены в этом списке.

Поля для настройки по группам (groupSearchBase, groupSearchFilter, groupSearchAttributes, groupDnProperty, groupSearchScope) используются в случае если вы хотите чтобы пользователи только из определенных групп имели доступ к Кайтен.

Пример фильтра по группам:

groupSearchBaseou=groups,dc=ramhlocal,dc=com

groupSearchFilterпример для open ldap: (&(memberUid={{username}})(|(cn=developer)(cn=designer))), пример для microsoft AD: (&(member={{dn}})(|(cn=developer)(cn=designer)))

groupDnPropertyopen ldap: memberUid , microsoft AD: dn (аттрибут группы, указывающий на участников группы)

(В данном примере смогут авторизоваться только те пользователи, которые состоят в группах developer или designer)

После того как все обязательные поля заполнены и сохранены, необходимо протестировать аутентификацию.

Перед тестированием необходимо сохранить изменения

После успешного тестирования данный способ можно сделать активным (включить).

Важно: с 1 января 2025 года Госдума РФ запретила использование иностранных SSO-сервисов. Поэтому для пользователей, которые находятся на территории РФ, доступны способы аутентификации LDAP или OIDC, настроенные через Identity Provider, владельцем которого является гражданин РФ или российское юридическое лицо.