Настройка SSO «OpenID Connect» Windows Server 2019 Active Directory

Кайтен можно подключить к Active Directory через OpenID Connect.
В этой инструкции показан пример настройки на Windows Server 2019.

После настройки пользователи смогут входить в Кайтен с корпоративными учетными данными, а пользователи и группы будут синхронизироваться автоматически.

После настройки:

• Пользователь может войти в систему Kaiten, используя SSO Microsoft Active Directory.

• При создании пользователя в Microsoft Active Directory, пользователь создается в Kaiten.

• При удалении пользователя в Microsoft Active Directory, пользователь блокируется в Kaiten.

• При изменении прав доступа внутри Microsoft Active Directory у пользователя меняются права доступа и к разделам Kaiten, через синхронизацию по группам пользователей.

Как настроить

Для настройки зайдите в Server Manager

1. Кликните tools и в выпавшем списке выберите «AD FS Management».

2. В открывшемся окне выберите папку «Application Groups» и в правом меню кликните на «Add Application Group»

3. Введите произвольное имя и выберите «Server application accessing a web API» и нажмите next.

4. Скопируйте Client Identifier, введите Redirect Url https://[ваш домен в кайтен]/auth/oidc/callback и нажмите Add, вставьте Client Identifier в Кайтене в поле clientID. Нажмите next.

5. Выберите «Generate a shared secret», скопируйте его и введите в Кайтене в поле clientSecret. Нажмите next.

5. Вставьте Client Identifier из четвертого шага и нажмите Add. Нажмите Next.

6. Выберите Permit everyone и нажмите Next.

7. Убедитесь что в списке разрешение выбрана опции openid, allatclaims, email, profile и нажмите Next.

8. В следующих двух шагах нажмите Next и Close.

9. Выберите созданную группу и нажмите properties.

10. В разделе Web API выберите созданную группу и нажмите Edit.

11. Выберите подраздел «Issuance Transform Rules» и нажмите кнопку Add Rule

12. В селекте выберите пункт «Send LDAP Attributes as Claims» и нажмите Next.

13. Введите произвольное название. В селекте Attribute store выберите Active Directory. В левом селекте выберите «E-Mail-Addresses» и в правом «E-Mail Address». В левом селекте выберите «Display-Name» и в правом «Name». Нажмите Finish.

14. Нажмите Apply.

15. Откройте папку Service и убедитесь, что маршрут /adfs/.well-known/openid-configuration доступен.

16. Введите этот маршрут в Кайтене в поле identityMetadata.

17. (Опциональный пункт) В поле domains введите домены пользователей, для которых будет использован данный метод аутентификации (Допустим у пользователей следующие емейлы - test@test1.ru, test@test2.ru - тогда поле Domains должно содержать test1.ru,test2.ru)

18. (Опциональный пункт) Для входа из-под нужного пользователя перейдите по ссылке /adfs/ls/idpinitiatedsignon и авторизуйтесь если нужно. В случае если данный маршрут недоступен, в PowerShell можно ввести команду Set-AdfsProperties -EnableIdpInitiatedSignonPage $True

19. (Опциональный пункт) Для добавления пользователя кликните Tools и выберите «Active Directory Users and Computers». Нажмите правой кнопкой мыши на папку Users и выберите New/User. Заполните необходимые поля и сохраните. (Обратите внимание - у пользователя должно быть заполнено поле email)

19. В Кайтене нажмите Сохранить. После того как опции нового варианта авторизации сохранятся, нажмите «Протестировать». Вы перейдете на авторизацию в adfs. После успешной авторизации вас перекинет обратно в Кайтен и вы увидите сообщение «Success».