Если вы используете Keycloak для аутентификации и авторизации пользователей, то теперь вы можете настроить возможность входа на онлайн-мероприятия и в личный кабинет МТС Линк с использованием протокола OAuth 2.0.

Keycloak — продукт с открытым кодом для реализации SSO с возможностью управления доступом. Обеспечивает аутентификацию и авторизацию пользователей.

Инструкции для других протоколов и провайдеров идентификации:

• Active Directory Federation Services

• Azure Active Directory

• Workspace ONE Access

• Google Workspace (SAML)

• Google Workspace (OAuth)

• Multifactor

• Битрикс24

• Keycloak (SAML)

• Microsoft Active Directory

• FreeIPA (ALD Pro)

• ID.Trusted.Net

  
  

Для настройки необходимо выполнить следующие действия.

Шаг 1. Настраиваем профиль Keycloak

1. Заходим в учетную запись администратора Keycloak и в левом верхнем углу выбираем нужную группу пользователей (Realm):

   

   Или создаем новую, нажав на "Create realm". При создании есть возможность загрузить файл JSON, включающий данные о пользователях, ролях, группах, клиентах, настройках аутентификации и так далее.

2. В разделе "Clients" выбираем нужный клиент и открываем его по двойному клику мыши:

   

3. На вкладке "Settings" понадобится параметр "Client ID":

   

4. На вкладке "Credentials" понадобится параметр "Client secret":

   

5. В разделе "Clients" заходим в нужный клиент, на вкладке "Client scopes" выбираем вариант, специализированный для этого клиента (в столбце "Description" будет описание вида "Dedicated scope and mappers for this client") и заходим в него:

6. Если на вкладке "Mappers" отсутствуют какие-либо объекты, нажимаем на "Configure a new mapper" в центре окна: Если на вкладке "Mappers" уже есть добавленные ранее объекты, нажимаем на "Add mapper" и выбираем "By configuration":

7. В обоих случаях откроется список, в котором надо нажать на "User Attribute"После этого сразу откроется страница настроек атрибута.

8. В настройках атрибута нужно задать параметр "Name" (любое понятное имя атрибута). Ниже необходимо включить опцию "Add to userinfo", если она не включена, и нажать на "Save": Опционально: в настройках атрибута также можно выбрать значение "middleName" (Отчество) для параметра "User Attribute" и в качестве значения параметра "Token Claim Name" задать "middle_name". Важно указать его точно в таком виде, так как МТС Линк будет ожидать "Отчество" именно под таким ключом.

9. Если при заполнении параметра "User Attribute" будет отсутствовать значение нужного вам опционального атрибута, то его можно создать. На примере "middleName" (Отчество) — в разделе "Realm settings" на вкладке "User profile" нажимаем на кнопку "Create attribute":
   Создаем атрибут "middleName" с настройками, как на рисунке:Теперь этот атрибут будет доступен к заполнению у пользователей из раздела "Users":
   
   

Примечания:

• атрибут "middleName" по умолчанию настроен на передачу по протоколу OAuth. Если в вашем случае передача "middleName" не настроена или отключена, то используйте пункты 5-8 для ее настройки;

• подобную настройку можно выполнить для любого параметра — уже существующего или созданного вами;

• аналогично можно создавать любые нужные вам атрибуты.

Шаг 2. Подтверждаем домен и завершаем настройки на стороне МТС Линк

1. Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO.
   ВАЖНО: без подтвержденного домена функционал работать не будет!

2. Заходим в личный кабинет МТС Линк, переходим в подраздел "Настройки SSO" раздела "Бизнес". Выбираем протокол OAuth, Keycloak в качестве SSO провайдера и вставляем данные из пунктов 3 и 4 первого шага настроек в соответствующие поля — "Идентификатор приложения (Client id)" и "Секретный ключ приложения (Client secret)", в поле "Базовый URL-адрес" указываем адрес вида "https://example.ru/realms/master" и нажимаем "Далее":

   

3. Копируем значение "Valid redirect URIs" и нажимаем "Далее":

   

4. На стороне Keycloak добавляем его в одноименное поле раздела "Clients" на вкладке "Settings":

   

5. В личном кабинете МТС Линк указываем домен электронной почты, чтобы пользователи с этим доменом направлялись на страницу вашего провайдера идентификации, и нажимаем "Добавить":

   

Шаг 3. Проверяем корректность настроек перед началом использования

После выполнения всех необходимых действий можно проверить их корректность, нажав на кнопку "Проверить работу" в подразделе "Настройки SSO" раздела "Бизнес" личного кабинета МТС Линк:

Если есть ошибка в значении Client id, вас перебросит на страницу входа в Keycloak со следующим сообщением:

Проверьте и введите корректное значение Client id!

Если указан неверный секретный ключ приложения, будет выводиться сообщение следующего вида:

Проверьте и введите корректное значение Client secret!

Если базовый URL-адрес указан с ошибками или недоступен, то в правом нижнем углу окна раздела настроек SSO появится сообщение вида "Пожалуйста, проверьте правильность и доступность базового URL-адреса".

Если не был подтвержден домен, ошибка будет иметь следующий вид:

Если все данные были введены правильно, появится сообщение об успешной проверке:

Готово!