OpenID Connect
Получить доступ к следующим параметрам конфигурации в системной консоли можно, выбрав Аутентификация → OpenID Connect. Можно выбрать OpenID Connect (Other).
Параметры подключения для GitLab и OpenID — идентичные.
Рекомендуем настраивать подключение к OpenID через конфигурационный файл или переменные среды.
Включить вход через OpenID
- Путь конфигурации системы: Аутентификация → OpenID Connect
- Переменная среды:
TIME_OPENIDSETTINGS_ENABLE - Значения:
- да: разрешает вход с помощью OpenID.
- нет: (по умолчанию) отключает вход с помощью OpenID.
Идентификатор клиента
Идентификатор Клиента в вашем OpenID провайдере
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → OpenID Connect
- Переменная среды:
TIME_OPENIDSETTINGS_ID.
Клиентский ключ
Ключ для прохождения авторизации с указанным Идентификатором клиента
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → OpenID Connect
- Переменная среды:
TIME_OPENIDSETTINGS_SECRET.
Эндпоинт обнаружения (DEPRECATED)
Ссылка на сервис OpenID авторизации. URL для метаданных.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → OpenID Connect
- Переменная среды:
TIME_OPENIDSETTINGS_DISCOVERYENDPOINT.
URL издателя
Полный URL-адрес поставщика OpenID.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → OpenID Connect
- Переменная среды:
TIME_OPENIDSETTINGS_ISSUERURL.
Текст кнопки входа
(Необязательно) Текст, который отображается на кнопке входа на странице входа.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → OpenID Connect
- Переменная среды:
TIME_OPENIDSETTINGS_BUTTONTEXT.
Цвет кнопки входа
(Необязательно) Цвет кнопки входа, которая отображается на странице входа.
Формат ввода: string, color HEX code
- Путь конфигурации системы: Аутентификация → OpenID Connect
- Переменная среды:
TIME_OPENIDSETTINGS_BUTTONCOLOR.
Scope
Наборы данных, запрашиваемые у OpenID провайдера
Формат ввода: string.
По умолчанию: profile openid email
Разрешенные наборы уточняйте в документации OpenID провайдера.
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SCOPE.
Подтверждение запроса авторизации
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
Proof Key Code Exchange (PKCE) — способ подтверждения запроса авторизации. Если требуется для работы, то OpenID провайдер об этом явно сообщит.
Настрока включает PKCE механизм.
Формат ввода: bool
По умолчанию: false
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_PROOFKEYCODEEXCHANGE.
Механизм подписи ключа
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Обязательно только при включенном механизме PKCE)
Указывает механизм подписи.
Возможные значения: plain, S256
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_PROOFKEYCODECHALLENGE.
Ключ симметричного шифрования
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Обязательно только при включенном механизме PKCE)
Задает ключ симметричного шифрования для работы механизма PKCE.
Должен быть длинной 16, 24, 32 байта (символа).
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_PROOFKEYCODECIPHER.
[Бета] Включить синхронизацию OpenID учетных записей с AD/LDAP
Вы можете дополнительно настроить синхронизацию учетных записей OpenID с AD/LDAP. При настройке Time запрашивает AD/LDAP для получения информации об учетной записи и синхронизирует AD/LDAP группы, в которых состоит пользователь. Добавляет пользователя в команды и каналы, к которым привязаны эти группы.
Включение синхронизации с LDAP
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
Указывает на необходимость синхронизации пользователей с LDAP.
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_ENABLESYNCWITHLDAP. - Значения:
- да: включает синхронизацию с LDAP.
- нет: (по умолчанию) отключает синхронизацию с LDAP.
Переопределять авторизационные данные при синхронизации с LDAP
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
По умолчанию, при включенной синхронизации учетных записей OpenID с AD/LDAP, Time связывает пользователя OpenID с AD/LDAP по адресу электронной почты.
При включении настройки переопределения, Time будет использовать OpenID AuthDataAttribute и AD/LDAP IdAttribute для связки и синхронизации пользователя, если эти поля настроены. Рекомендуется использовать эту настройку, чтобы при смене электронной почты не создавались новые пользователи.
Перед настройкой убедитесь, что OpenID AuthDataAttribute и AD/LDAP IdAttribute содержат одни и те же значения.
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_ENABLESYNCWITHLDAPINCLUDEAUTH. - Значения:
- да: включает переопределение.
- нет: (по умолчанию) отключает переопеределение.
Игнорировать учетные записи гостей+ при синхронизации с LDAP
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
Включает игнорирование учетных записей созданных через OpenID при синхронизации с LDAP.
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_IGNOREGUESTSLDAPSYNC. - Значения:
- да: Time будет игнорировать гостей+, которые идентифицируются атрибутом Guest+ при синхронизации с AD/LDAP в целях деактивации и удаления данного пользователя. Поэтому гостями+ придётся управлять вручную через Системную Консоль → Пользователи
- нет (по умолчанию): Гости+ будут синхронизироваться через AD/LDAP.
Нестандартный маппинг полей пользователя
Нестандартный маппинг для полей пользователей.
Если один из атрибутов не указан, то берется атрибут по умолчанию из спецификации OpenID.
Включение нестандартного маппинга полей пользователя
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
Включает нестандартный маппинг для полей пользователя.
Формат ввода: bool
По умолчанию: false
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SSOUSERMAPPING_ENABLE.
Атрибут логина пользователя
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Необязательно) Атрибут логина пользователя из набора данных.
Если не указан, проверяется стандартный атрибут.
Если стандартный атрибут отсутствует, используется первая часть электронной почты пользователя (все перед символом @).
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SSOUSERMAPPING_USERNAMEATTRIBUTE.
Атрибут электронной почты пользователя
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Необязательно) Атрибут электронной почты пользователя из набора данных
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SSOUSERMAPPING_EMAILATTRIBUTE.
Атрибут идентификатора пользователя
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Необязательно) Атрибут идентификатора пользователя внутри OpenID провайдера.
Используется для идентификации пользователя при повторном входе через OepnID.
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SSOUSERMAPPING_AUTHDATAATTRIBUTE.
Атрибут имени пользователя
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Необязательно) Атрибут имени пользователя внутри OpenID провайдера.
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SSOUSERMAPPING_FIRSTNAMEATTRIBUTE.
Атрибут фамилии пользователя
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Необязательно) Атрибут фамилии пользователя внутри OpenID провайдера.
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SSOUSERMAPPING_LASTNAMEATTRIBUTE.
Атрибут единого идентификатора пользователя
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Необязательно) Атрибут единого идентификатора пользователя внутри вашей компании, если имеется.
Формат ввода: string
- Путь конфигурации системы: N/A
- Переменная среды:
TIME_OPENIDSETTINGS_SSOUSERMAPPING_EXTERNALIDATTRIBUTE.