SAML 2.0
Получить доступ к следующим параметрам конфигурации в системной консоли, можно выбрав Аутентификация → SAML 2.0.
В соответствии с рекомендациями Microsoft ADFS мы рекомендуем настроить проверку подлинности на основе форм интрасети для устройств, не поддерживающих WIA.
Включить вход через SAML 2.0
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_ENABLE - Значения:
- да: разрешает вход с помощью SAML.
- нет: (по умолчанию) отключает вход с помощью SAML.
[Бета] Включить синхронизацию SAML учетных записей с AD/LDAP
Вы можете дополнительно настроить синхронизацию учетных записей SAML с AD/LDAP.
При настройке Time запрашивает AD/LDAP для получения информации об учетной записи и синхронизирует AD/LDAP группы, в которых состоит пользователь. Добавляет пользователя в команды и каналы, к которым привязаны эти группы.
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_ENABLESYNCWITHLDAP - Значения:
- да: включает синхронизацию SAML учетных записей с AD/LDAP.
- нет: (по умолчанию) отключает синхронизацию с AD/LDAP.
[Бета] Переопределить параметр пользователя SAML для привязки с AD/LDAP
По умолчанию, при включенной синхронизации учетных записей SAML с AD/LDAP, Time связывает пользователя SAML с AD/LDAP по адресу электронной почты.
При включении настройки переопределения, Time будет использовать IdAttribute SAML и IdAttribute AD/LDAP для связки и синхронизации пользователя, если эти поля настроены. Рекомендуется использовать эту настройку, чтобы при смене электронной почты не будут созданы новые пользователи.
Перед настройкой убедитесь, что SAML IdAttribute и AD/LDAP IdAttribute содержат одни и те же значения.
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_ENABLESYNCWITHLDAPINCLUDEAUTH - Значения:
- да: переопределять атрибут SAML IdAttribute с AD/LDAP IdAttribute, если он настроен.
- нет: (по умолчанию) отключить переопределение.
Игнорировать гостей+ при синхронизации с AD/LDAP
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_IGNOREGUESTSLDAPSYNC - Значения:
- да: Time будет игнорировать гостей+, которые идентифицируются атрибутом Guest+ при синхронизации с AD/LDAP в целях деактивации и удаления данного пользователя. Поэтому гостями+ придётся управлять вручную через Системную Консоль → Пользователи
- нет: (по умолчанию) Гости+ будут синхронизироваться через AD/LDAP.
Игнорировать гостей при синхронизации с AD/LDAP
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_IGNORERESTRICTEDGUESTSLDAPSYNC - Значения:
- да: Time будет игнорировать гостей, которые идентифицируются атрибутом Guest при синхронизации с AD/LDAP в целях деактивации и удаления данного пользователя. Поэтому гостями придётся управлять вручную через Системную Консоль → Пользователи
- нет: (по умолчанию) Гости будут синхронизироваться через AD/LDAP.
URL метаданных провайдера идентификации
URL, по которому мессенджер отправляет запрос на получение метаданных.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_IDPMETADATAURL
SAML SSO URL
URL-адрес, на который мессенджер отправляет SAML-запрос для запуска последовательности входа.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_IDPURL
URL-адрес издателя поставщика учетных записей
URL-адрес издателя поставщика учетных записей для запросов SAML.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_IDPDESCRIPTORURL
Публичный сертификат Удостоверяющего Центра
Общедоступный сертификат проверки подлинности, выданный поставщиком удостоверений.
Можно передать путь до файла, или его содержимое. Если заданы и файл, и его содержимое, то приоритет у файла.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды для файла:
TIME_SAMLSETTINGS_IDPCERTIFICATEFILE - Переменная среды для содержимого:
TIME_SAMLSETTINGS_IDPCERTIFICATECONTENT
Проверка подписи
Формат ввода: boolean. По умолчанию используется true
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_VERIFY - Значения:
- да: (по умолчанию) Проверяется, соответствует ли подпись ответа SAML URL-адресу входа поставщика услуг.
- нет: подпись не проверена. Рекомендуется использовать этот параметр только для тестирования.
Адрес для входа через поставщика услуг
Указывается как: URL-адрес сервера мессенджера, а затем /login/sso/saml. Например: https://example.com/login/sso/saml.
HTTP или HTTPS используются в зависимости от конфигурации сервера.
Это поле также известно как Assertion Consumer Service URL.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_ASSERTIONCONSUMERSERVICEURL
Идентификатор поставщика услуг
Уникальный идентификатор поставщика услуг, обычно совпадает с URL-адресом входа поставщика услуг. В ADFS это должно совпадать с идентификатором проверяющей стороны.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_SERVICEPROVIDERIDENTIFIER
Включить шифрование
Формат ввода: boolean. По умолчанию используется true
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_ENCRYPT - Значения:
- да: (по умолчанию) Мессенджер будет расшифровывать утверждения SAML, которые зашифрованы с помощью общедоступного сертификата поставщика услуг.
- нет: Мессенджер не расшифровывает утверждения SAML. Отключение шифрования не рекомендуется для производственных сред
Закрытый ключ поставщика услуг
В этом параметре хранится закрытый ключ, используемый для расшифровки утверждений SAML от поставщика удостоверений.
Можно передать путь до файла, или его содержимое. Если заданы и файл, и его содержимое, то приоритет у файла.
Приватный и публичный ключи должны быть переданы одним и тем же способом, т.е. либо оба через файл, либо оба через содержимое.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды для файла:
TIME_SAMLSETTINGS_PRIVATEKEYFILE - Переменная среды для содержимого:
TIME_SAMLSETTINGS_PRIVATEKEYCONTENT
Публичный сертификат поставщика услуг
В этом параметре хранится файл сертификата, используемый для подписи запроса SAML к поставщику удостоверений для входа в систему SAML, когда инициируется вход в качестве поставщика услуг.
Можно передать путь до файла, или его содержимое. Если заданы и файл, и его содержимое, то приоритет у файла.
Приватный и публичный ключи должны быть переданы одним и тем же способом, т.е. либо оба через файл, либо оба через содержимое.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды для файла:
TIME_SAMLSETTINGS_PUBLICCERTIFICATEFILE - Переменная среды для содержимого:
TIME_SAMLSETTINGS_PUBLICCERTIFICATECONTETNT
Запрос на подпись
Формат ввода: boolean. По умолчанию используется false
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_SIGNREQUEST - Значения:
- да: Подписать запрос SAML с использованием личного ключа.
- нет: запрос SAML не подписывается.
Включить откладку SAML
Включить или отключить отладку SAML для сбора дополнительной отладочной информации в системных журналах.
Формат ввода: boolean. По умолчанию используется false
- Переменная среды:
TIME_SAMLSETTINGS_TRACE - Значения:
- да: Запись дополнительной отладочной информации в системные журналы.
- нет: (По умолчанию) Отладочная информация SAML не включается в системные журналы.
Алгоритм подписи
Этот параметр определяет алгоритм подписи, используемый для подписи запроса SAML. Варианты: RSAwithSHA1, RSAwithSHA256, RSAwithSHA512.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_SIGNATUREALGORITHM
Алгоритм канонизации
Этот параметр определяет алгоритм канонизации. С этими параметрами:
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_CANONICALALGORITHM - Значения:
- Canonical1.0: Эксклюзивная канонизация XML 1.0
- Canonical1.1: (по умолчанию) Canonical XML 1.1
Атрибут электронной почты
Этот параметр определяет атрибут SAML, который заполняет поле адреса электронной почты пользователя.
Уведомления отправляются на этот адрес электронной почты. Этот адрес электронной почты может быть виден другим пользователям, в зависимости от того, как системный администратор настроил конфиденциальность пользователей.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_EMAILATTRIBUTE.
Атрибут имени пользователя
Этот параметр определяет атрибут SAML Assertion, который заполняет поле имени пользователя в пользовательском интерфейсе мессенджера.
Этот атрибут идентифицирует пользователей в пользовательском интерфейсе.
Например, если для имени пользователя задано значение john.smith, при вводе @john будет отображаться @john.smith в качестве параметра автозаполнения, а публикация сообщения с @john.smith отправит уведомление этому пользователю.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_USERNAMEATTRIBUTE.
Атрибут идентификатора
(Необязательно) Атрибут в SAML, которые будут использоваться для сопоставления пользователей из SAML.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_IDATTRIBUTE.
Атрибут гостя+
(Необязательно) Этот параметр определяет атрибут SAML и его значение, используемый для применения роли гостя+ к пользователям мессенджера. К примеру, usertype=Guest или isGuest=true.
Если этот фильтр будет удален/изменен, активные гости+ не будут повышены до уровня участника и сохранят свою роль гостя+. Гости+ могут получить повышение в Системная консоль → Управление пользователями. Существующие участники, которые определены этим атрибутом как гость+, будут понижены в должности от участника до гостя+, при следующем входе в систему.
Следующий вход в систему основан на продолжительности сеанса, установленной в Системная консоль → Продолжительность сессий. Настоятельно рекомендуется вручную понижать пользователей до гостей+ в Системной консоли → Управление пользователями для ограничения доступа.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_GUESTATTRIBUTE.
Атрибут гостя
(Необязательно) Этот параметр определяет атрибут SAML и его значение, используемый для применения роли гостя к пользователям мессенджера. К примеру, usertype=RestrictedGuest или isRestrictedGuest=true.
Если этот фильтр будет удален/изменен, активные гости не будут повышены до уровня участника и сохранят свою роль гостя. Гости могут получить повышение в Системная консоль → Управление пользователями. Существующие участники, которые определены этим атрибутом как гость, будут понижены в должности от участника до гостя, при следующем входе в систему.
Следующий вход в систему основан на продолжительности сеанса, установленной в Системная консоль → Продолжительность сессий. Настоятельно рекомендуется вручную понижать пользователей до гостей в Системной консоли → Управление пользователями для ограничения доступа.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_RESTRICTEDGUESTATTRIBUTE.
Включить атрибут администратора
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_ENABLEADMINATTRIBUTE. - Значения:
- да: статус системного администратора определяется атрибутом SAML Assertion.
- нет: (по умолчанию) Статус системного администратора не определяется атрибутом утверждения SAML.
Атрибут администратора
(Необязательно) Этот параметр определяет атрибут в утверждении SAML для назначения системных администраторов.
Пользователи автоматически повышаются до этой роли при входе в мессенджер.
Если атрибут "Администратор" удален, пользователи, вошедшие в систему, сохраняют статус "Администратор". Роль отменяется, только когда пользователи выходят из системы.
Когда этот фильтр не используется, системные администраторы могут повышаться/понижаться в должности в Системная консоль → Управление пользователями.
Формат ввода: string.
Если Включить аттрибут администратора установлен в да, это поле должно быть заполнен.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_ADMINATTRIBUTE.
Атрибут имени
(Необязательно) Этот параметр определяет атрибут SAML Assertion, который заполняет имена пользователей.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_FIRSTNAMEATTRIBUTE
Атрибут фамилии
(Необязательно) Этот параметр определяет атрибут SAML Assertion, который заполняет фамилии пользователей.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_LASTNAMEATTRIBUTE.
Атрибут псевдонима
(Необязательно) Этот параметр определяет атрибут SAML Assertion, который заполняет псевдонимы пользователей.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_NICKNAMEATTRIBUTE.
Атрибут должности
(Необязательно) Этот параметр определяет атрибут SAML Assertion, который заполняет должность или роль в компании пользователей.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_POSITIONATTRIBUTE.
Атрибут предпочтительного языка
(Необязательно) Этот параметр определяет атрибут SAML Assertion, который заполняет языковые предпочтения пользователей.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_LOCALEATTRIBUTE.
Атрибут внешнего идентификатора
Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.
(Необязательно) Этот параметр определяет атрибут SAML Assertion, который заполняет ExternalID. Общий идентификатор пользователя, одинаковый для всех систем внутри компании.
Формат ввода: string.
- Переменная среды:
TIME_SAMLSETTINGS_EXTERNALIDATTRIBUTE.
Текст кнопки входа
(Необязательно) Текст, который отображается на кнопке входа на странице входа.
Формат ввода: string.
- Путь конфигурации системы: Аутентификация → SAML 2.0
- Переменная среды:
TIME_SAMLSETTINGS_LOGINBUTTONTEXT.