Аутентификация по SSO

Первая аутентификация

Если пользователь был добавлен вручную, после приглашения в аккаунт он получит письмо на электронную почту со ссылкой для авторизации по SSO и ID федерации.

Если при создании федерации на стороне Servercore было включено автосоздание пользователей, ссылку для первой аутентификации предоставляет Владелец аккаунта или пользователь с ролью iam_admin.

Вход по ссылке из письма

1. В письме нажмите Войти по SSO.
2. Введите ID федерации.
3. Опционально: чтобы не вводить ID федерации при каждом входе, отметьте чекбокс Сохранить федерацию.
4. Нажмите Войти по SSO. Вы будете перенаправлены на страницу авторизации у поставщика удостоверений.
5. Авторизуйтесь на стороне поставщика удостоверений. После авторизации вы будете возвращены на страницу входа в панели управления.
6. Если у вас не указано ФИО, введите его.
7. Нажмите Войти по SSO.

Вход по прямой ссылке

1. Перейдите по ссылке, которую вам предоставил Владелец аккаунта или пользователь с ролью iam_admin.
2. Если у вас не указано ФИО, введите его.
3. Нажмите Войти по SSO.
4. Если у вас не указан email, введите его.
5. Если у вас не указано ФИО, введите его.
6. Нажмите Войти по SSO.

Аутентификация при каждом входе

1. В панели управления на странице входа нажмите Войти с помощью SSO.
2. Введите ID федерации или выберите сохраненную федерацию. ID федерации можно посмотреть в письме-приглашении или запросить у Владельца аккаунта или пользователя с ролью iam.admin.
3. Опционально: чтобы не вводить ID новой федерации при каждом входе, отметьте чекбокс Сохранить федерацию.
4. Нажмите Войти по SSO. Вы будете перенаправлены на страницу авторизации у поставщика удостоверений.
5. Авторизуйтесь у поставщика удостоверений.

Ошибки при аутентификации

По протоколу SAML

Если федерация по протоколу SAML была настроена некорректно, при аутентификации федеративного пользователя могут возникать ошибки. Группы ошибок:

• SAML001 — SAML099 – ошибки конфигурации федерации на стороне Servercore;
• SAML100 — SAML199 – ошибки валидации на стороне поставщика удостоверений (SAML Response);
• SAML200 — SAML299 – остальные ошибки.

Ошибка	Причина	Решение
SAML001 – SAML099 — ошибки конфигурации на стороне Servercore
SAML001: saml_idp_is_not_configured	SAML-совместимый провайдер не был добавлен на стороне Servercore	Проверить настройку федерации на стороне Servercore
SAML002: saml_idp_certs_not_configured	У федерации в Servercore отсутствует сертификат	Для федерации добавить сертификат, выпущенный у поставщика удостоверений
SAML100 – SAML199 — ошибки валидации SAML Response
SAML100: saml_response_invalid_request_id	Некорректный идентификатор SAML запроса. Возможные причины: повторная попытка аутентификации в рамках одного запроса (SAML Response); истекло время, выделенное на аутентификацию пользователя — после перехода на страницу аутентификации пользователь ввел учетные данные через 10 или более минут	Повторно перейти на страницу аутентификации из панели управления Servercore и авторизоваться
SAML101: saml_response_invalid_destination	Параметр Destination в SAML Response проставляется некорректно	Выставить корректный URL для SAML Assertion Consumer Service на стороне поставщика удостоверений: в Keycloak – поле Valid Redirect URIs, подробнее в инструкции Создать SAML-федерацию для Keycloak; в AD FS — поле Relying party SAML 2.0 SSO service URL, подробнее в инструкции Создать SAML-федерацию для AD FS
SAML102: saml_response_invalid_in_response_to	SAML Response был создан для аутентификационного запроса с другим идентификатором	Повторно перейти на страницу аутентификации из панели управления Servercore и авторизоваться
SAML103: saml_response_invalid_issuer	При создании федерации на стороне Servercore указано некорректное значение поля IdP Issuer	В настройках федерации в Servercore установить корректное значение в поле IdP Issuer
SAML104: saml_response_invalid_signature	Сигнатура у полученного SAML Response выставлена некорректно. Возможные причины: поставщик удостоверений вернул некорректный SAML Response. Проверить корректность SAML Response можно с помощью сторонних утилит (например, Onelogin); для федерации в Servercore добавлен некорректный сертификат	при некорректном SAML Response: проверить настройку федерации на стороне поставщика удостоверений; при некорректном сертификате: добавить корректный сертификат
SAML105: saml_response_subject_not_found	Секция Subject отсутствует в полученном SAML Response	Настроить федерацию на стороне поставщика удостоверений так, чтобы в SAML Response была включена секция Subject
SAML106: saml_response_name_id_not_found	Параметр NameID отсутствует в полученном SAML Response	Настроить федерацию на стороне поставщика удостоверений так, чтобы в SAML Response был включен параметр NameID: в AD FS – настроить Claims Mapping; Keycloak – настроек не требуется. Повторите аутентификацию позже
SAML107: saml_response_user_not_found	Пользователь не существует в Servercore	Добавить пользователя со способом входа Федерация. Если пользователь добавлен, убедитесь, что значение поля ExternalID у созданного пользователя соответствует идентификатору пользователя на стороне поставщика удостоверений.
SAML108: saml_response_invalid_assertion_xml	Некорректный формат SAML Response. Проверить SAML Response можно с помощью сторонних утилит (например, Onelogin)	повторная аутентификация; проверить настройку федерации на стороне поставщика удостоверений
SAML109: saml_response_invalid_assertion	Некорректный SAML Response	Проверить настройку федерации на стороне поставщика удостоверений. Проверить SAML Response можно с помощью сторонних утилит (например, Onelogin)
SAML200 – SAML299 — другие ошибки
SAML200: saml_internal_error	Требует уточнения	Создать тикет
SAML201: saml_malformed_request	Некорректные параметры запроса от поставщика удостоверений к Servercore после аутентификации на стороне поставщика	Проверить настройку федерации на стороне поставщика удостоверений

По протоколу OIDC

Если федерация по протоколу OIDC была настроена некорректно, при аутентификации федеративного пользователя могут возникать ошибки. Группы ошибок:

• OIDC001 — OIDC099 – ошибки настройки федерации на стороне Servercore;
• OIDC100 — OIDC199 – ошибки валидации по протоколу OIDC на стороне поставщика удостоверений;
• OIDC200 — OIDC299 – остальные ошибки.

Ошибка	Причина	Решение
OIDC001 – OIDC099 — ошибки настройки федерации на стороне Servercore
OIDC001: oidc_idp_not_configured	OIDC-совместимый провайдер не был добавлен на стороне Servercore	Проверить настройку федерации на стороне Servercore
OIDC002: oidc_jwks_uri_not_configured	В федерации в Servercore не добавлен JWKS URI для проверки подписи токенов	Указать JWKS URI в настройках федерации. JWKS URI можно получить из Discovery Document поставщика удостоверений, который можно получить по адресу https://<idp_url>/.well-known/openid-configuration. Укажите <idp_url> — ваш URL у поставщика удостоверений
OIDC100 – OIDC199 — ошибки валидации по протоколу OIDC на стороне поставщика удостоверений
OIDC100: oidc_authorization_error	Поставщик удостоверений вернул ошибку на этапе авторизации. Возможные причины: пользователь отклонил запрос на авторизацию; клиент не авторизован для данного типа авторизации; запрошенный Permitted scope не поддерживается; внутренняя ошибка на стороне поставщика удостоверений	Проверить настройки клиента у поставщика удостоверений и убедиться, что; выбран Grant Type — Authorization Code; указан корректный Permitted scope (минимум openid); у пользователя есть доступ к приложению
OIDC101: oidc_state_mismatch	Параметр state не совпадает со значением, отправленным в запросе аутентификации. Возможные причины: повторная попытка аутентификации в рамках одного запроса; истекло время, выделенное на аутентификацию пользователя	Повторно перейти на страницу аутентификации из панели управления Servercore и авторизоваться
OIDC102: oidc_token_request_failed	Ошибка при обмене кода авторизации на токены. Возможные причины: некорректные значения полей Client ID или Client Secret; код авторизации истек или был использован повторно	Проверить значения полей Client ID и Client Secret в настройках федерации на стороне Servercore и убедиться, что они совпадают с зарегистрированными у поставщика удостоверений
OIDC103: oidc_invalid_signature	Подпись ID Token выставлена некорректно. Возможные причины: поставщик удостоверений вернул некорректное значение ID Token; для федерации в Servercore указан некорректный JWKS URI; публичный ключ с указанным ID не найден в JWKS	При некорректном JWKS URI: указать корректный JWKS URI в настройках федерации. При ротации ключей: убедиться, что старые ключи доступны в JWKS в течение переходного периода
OIDC104: oidc_invalid_token_format	Некорректный формат ID Token. Поставщик удостоверений вернул ответ, не соответствующий формату JWT	Проверить настройку федерации на стороне поставщика удостоверений
OIDC105: oidc_token_expired	Срок действия ID Token истек	Повторно перейти на страницу аутентификации из панели управления Servercore и авторизоваться
OIDC106: oidc_invalid_audience	Значение Audience (aud claim) в ID Token не содержит Client ID	проверить настройки клиента у поставщика удостоверений; убедиться, что токен выдан для Client ID, который указан в настройках федерации в Servercore
OIDC107: oidc_subject_not_found	Значение Claim sub (subject identifier) отсутствует или пустое в ID Token	Настроить поставщика удостоверений для включения subject identifier в ID Token
OIDC108: oidc_nonce_mismatch	Значение Nonce в ID Token не совпадает с отправленным в запросе на авторизацию	повторно перейти на страницу аутентификации из панели управления Servercore и авторизоваться; проверить настройки cookies в браузере
OIDC109: oidc_user_not_found	Пользователь не существует в Servercore	Добавить пользователя. Если пользователь добавлен, убедиться, что значение поля ExternalID у пользователя соответствует Claim sub из ID Token
OIDC200 – OIDC299 — другие ошибки
OIDC200: oidc_internal_error	Неизвестная ошибка	Создать тикет
OIDC201: oidc_malformed_response	Некорректный формат ответа от поставщика удостоверений к Servercore после аутентификации на стороне поставщика	проверить настройку федерации на стороне поставщика удостоверений; убедиться, что ответ соответствует спецификации OIDC