پرش به مطلب اصلی

ورود به کنسول با SSO

با Single Sign-On (SSO) کاربران سازمان شما با همان حساب سامانه هویت (IdP) خود به کنسول هم‌روش وارد می‌شوند و دیگر لازم نیست برای کنسول رمز جداگانه داشته باشند.

نحوه فعال‌سازی SSO برای سازمان

برای فعال‌سازی SSO لازم است ضمن ثبت تیکت، اطلاعات زیر را داخل تیکت برای ما ارسال کنید:

  1. آدرس OpenID Config (آدرس متادیتا) آدرس discovery سند OpenID، مشابه:
    https://auth.hamravesh.ir/.well-known/openid-configuration

  2. Client ID
    شناسه کلاینت اپلیکیشنی که روی IdP خود برای کنسول ساخته‌اید. پیشنهاد میکنیم مقدار Client ID را برابر با hamravesh-console قرار دهید.

  3. Client Secret
    رمز همان کلاینت.

  4. Roles
    اگر می‌خواهید فقط نقش‌ها یا گروه‌های خاص اجازه ورود داشته باشند، لیست آن نقش‌ها یا گروه‌ها را نیز ارسال کنید (مثلاً: developer، admin، console-access). در غیر این صورت همه کاربرانی که از IdP شما با موفقیت احراز هویت شوند اجازه ورود خواهند داشت.

نحوه ارسال Roles در اطلاعات کاربر

در صورت تمایل به احراز هویت مبتنی بر نقش لازم است نقش کاربر را به یکی از دو طریق زیر در اطلاعات کاربر قرار دهید:

روش ۱: فیلد roles در ریشه پاسخ

در ریشه آبجکت UserInfo/ID Token، کلید roles را قرار دهید که مقدار آن آرایه‌ای از نام نقش‌ها است:

{
  "sub": "...",
  "email": "user@example.com",
  "roles": ["developer", "console-access"]
}

روش ۲: نقش‌ها به سبک استاندارد Keycloak

در فیلد resource_access، زیر کلید hamravesh-console، آرایه‌ی roles را قرار دهید:

{
  "sub": "...",
  "email": "user@example.com",
  "resource_access": {
    "hamravesh-console": {
      "roles": ["developer", "admin"]
    }
  }
}

اگر لیست نقش‌های مجاز را برای ما فرستاده باشید، کاربر باید حداقل یکی از آن نقش‌ها را در یکی از این دو محل داشته باشد.
اگر از روش دوم استفاده می‌کنید، در IdP خود برای این کلاینت نام hamravesh-console را تنظیم کنید تا نقش‌ها در resource_access["hamravesh-console"]["roles"] قرار گیرند.

نکات تکمیلی

  • پس از لاگین موفق با SSO اگر کاربری با این ایمیل در کنسول وجود نداشته باشد، حساب جدید ساخته می‌شود و کاربر به سازمان‌هایی که به این SSO متصل شده باشند، با نقش پیش‌فرض developer اضافه می‌شود و پس از ورود آن سازمان‌ها را خواهد دید.
  • اگر در کنسول هم‌روش کاربری با همین ایمیل از قبل وجود داشته باشد، ورود موفقیت‌آمیز خواهد بود و حساب کاربری موجود در کنسول به حساب کاربری SSO شما متصل خواهد شد.

در صورت ابهام یا نیاز به تنظیم خاص، می‌توانید از طریق تیکت با تیم پشتیبانی هم‌روش در ارتباط باشید.

این صفحه مفید بود؟

با ثبت بازخوردتان در بهبود کیفیت مستندات مشارکت داشته باشید.

در این صفحه

این صفحه مفید است؟