• Русский

      • Интеграция единого входа (SSO)

      NocoBase предоставляет комплексные решения для единого входа (Single Sign-On, SSO), поддерживая несколько распространённых протоколов аутентификации для бесшовной интеграции с существующими корпоративными системами идентификации.

      Обзор

      Единый вход (Single Sign-On) позволяет пользователям получать доступ к нескольким связанным, но независимым системам, используя один набор учётных данных. Пользователь аутентифицируется один раз и получает доступ ко всем разрешённым приложениям без повторных запросов входа. Это улучшает пользовательский опыт и повышает безопасность и эффективность администрирования.

      Поддерживаемые протоколы аутентификации

      NocoBase поддерживает следующие протоколы и методы аутентификации через плагины:

      Корпоративные протоколы SSO

      • SAML 2.0: открытый стандарт на основе XML, широко применяемый для корпоративной аутентификации. Подходит для интеграции с корпоративными провайдерами идентификации (IdP).

      • OIDC (OpenID Connect): современный слой аутентификации на базе OAuth 2.0, предоставляющий механизмы аутентификации и авторизации. Поддерживает интеграции с крупными провайдерами (Google, Azure AD и т. п.).

      • CAS (Central Authentication Service): протокол SSO, разработанный Йельским университетом и широко используемый в вузах.

      • LDAP: облегчённый протокол доступа к каталогам для работы с распределёнными службами каталогов. Подходит для интеграции с Active Directory и другими LDAP-серверами.

      Аутентификация через сторонние платформы

      • WeCom (WeChat Work): поддержка входа по QR-коду WeCom и бесшовной аутентификации внутри приложения.

      • DingTalk: поддержка входа по QR-коду DingTalk и бесшовной аутентификации внутри приложения.

      Другие методы аутентификации

      Шаги интеграции

      1. Установить плагин аутентификации

      В зависимости от требований найдите и установите подходящий плагин аутентификации в менеджере плагинов. Большинство SSO-плагинов требует отдельной покупки или подписки.

      auth_sso-2025-11-24-08-26-46

      Например, установите плагин аутентификации SAML 2.0:

      Или установите плагин аутентификации OIDC:

      2. Настроить метод аутентификации

      1. Перейдите в Системные настройки > Аутентификация пользователей

      1. Нажмите Добавить метод аутентификации
      2. Выберите установленный тип аутентификации (например, SAML)

      Или выберите OIDC:

      1. Настройте необходимые параметры по подсказкам

      3. Настроить поставщика удостоверений (IdP)

      Для каждого протокола аутентификации нужны свои настройки поставщика удостоверений:

      • SAML: настройка метаданных IdP, сертификатов и т. п.

      • OIDC: настройка Client ID, Client Secret, discovery endpoint и т. п.

      • CAS: настройка адреса CAS-сервера
      • LDAP: настройка адреса LDAP-сервера, Bind DN и т. п.
      • WeCom/DingTalk: настройка учётных данных приложения, Corp ID и т. п.

      4. Протестировать аутентификацию

      После настройки выполните тестовый вход:

      1. Выйдите из текущей сессии
      2. На странице входа выберите настроенный SSO-метод

      1. Пройдите сценарий аутентификации у поставщика удостоверений
      2. Убедитесь, что вход в NocoBase успешен

      Сопоставление пользователей и назначение ролей

      После успешной SSO-аутентификации NocoBase автоматически обрабатывает учётные записи пользователей:

      • Первый вход: автоматически создаётся новый пользователь и синхронизируется базовая информация (имя пользователя, email и т. п.) от поставщика удостоверений
      • Последующие входы: используется существующая учётная запись; при необходимости синхронизируется обновлённая информация пользователя
      • Назначение ролей: настройте роли по умолчанию или автоматически назначайте роли на основе атрибутов пользователя, полученных от поставщика удостоверений

      Рекомендации по безопасности

      1. Используйте HTTPS: убедитесь, что NocoBase развёрнут по HTTPS для защиты передачи данных аутентификации
      2. Регулярное обновление сертификатов: своевременно обновляйте и ротируйте учётные данные безопасности, такие как сертификаты SAML
      3. Настройте разрешенные callback URL: корректно настройте callback URL NocoBase у поставщика удостоверений
      4. Принцип наименьших привилегий: назначайте SSO-пользователям соответствующие роли и права
      5. Включите логирование аудита: записывайте и отслеживайте активности SSO-входа

      Устранение неполадок

      Не получается войти через SSO?

      1. Проверьте корректность конфигурации поставщика удостоверений
      2. Убедитесь, что callback URL настроены правильно
      3. Посмотрите логи NocoBase для деталей ошибок
      4. Убедитесь, что сертификаты и ключи валидны

      Не синхронизируются данные пользователя?

      1. Проверьте атрибуты пользователя, которые возвращает поставщик удостоверений
      2. Убедитесь, что сопоставление полей настроено правильно
      3. Проверьте, что включена опция синхронизации информации пользователя

      Как поддержать несколько методов аутентификации?

      NocoBase поддерживает одновременную настройку нескольких методов аутентификации. Пользователи могут выбрать предпочитаемый метод на странице входа.

      Связанные ресурсы