Kaiten

Документация и инструкции

To Kaiten
АдминистрированиеНастройка SSO

Настройка SSO «OpenID Connect» (на примере Keycloak)

SSO (технология единого входа) — это способ авторизации, при котором пользователь входит в несколько сервисов с одним аккаунтом.

SSO базируется на настройке доверительных отношений между приложением, известным как провайдер услуг, и системой управления доступами. Например, Google SSO или Keycloak.

Важно: с 1 января 2025 года в РФ действуют ограничения на авторизацию через SSO, если она происходит на доменах, принадлежащих иностранным компаниям.

Вы можете настроить SSO через OpenID Connect (например, Keycloak), но пользователи, которые находятся на территории РФ, смогут войти через SSO только в том случае, если авторизация происходит на домене, принадлежащем российскому юридическому или физическому лицу (ст. 16 149-ФЗ).

  1. В Keycloak в административной секции добавьте новый realm (или же используйте существующий).

  1. Добавьте нового клиента.

  1. В настройках нового клиента введите Client ID (произвольное название, понадобится на стороне Кайтена в следующих шагах).

  2. В поле Access type выберите — confidential.

  3. В поле Valid Redirect URIs добавьте ваш домен Кайтена + /auth/oidc/callback)

    https://ВАШ_ДОМЕН.kaiten.ru/auth/oidc/callback

  1. В подразделе Credentials скопируйте Secret. Он понадобится вам дальше в настройках внутри Кайтена.

  1. В разделе Users добавьте пользователя.

Заполните пользовательские данные и пароль.

  1. В разделе Realm settingsGeneral скопируйте ссылку OpenID Endpoint Configuration. Дальше она понадобится для вставки в поле identityMetadata в Кайтене.

  1. Зайдите в Кайтене в раздел «Настройки компании» и заполните поля «Domains», «identityMetadata», «clientID», «clientSecret».

  • Domains — введите домены пользователей, для которых будет использован данный метод аутентификации (Допустим у пользователей следующие емейлы - test@test1.ru, test@test2.ru - тогда поле Domains должно содержать test1.ru,test2.ru)

    Обратите внимание: для email с указанными доменами стандартные способы аутентификации в Kaiten (по паролю и PIN-коду) будут недоступны.

  • identityMetadata — скопированная ссылка из 9 пункта.

  • clientID — произвольный ID, который указали в 3 пункте.

  • clientSecret — код из пункта номер 6.

  1. Сохраните введенные настройки и нажмите кнопку «Протестировать».

  1. Вы перейдете на страницу Keycloak.

    Заполните требуемые поля и нажмите кнопку «Sign In».

При успешной авторизации вы увидите Success!

  1. Вернитесь во вкладку Kaiten в «Настройки компании» и активируйте новый способ авторизации.

Готово!