Перейти к содержимому

Документация Corta

Authentication (Аутентификация)

Corta поддерживает протокол аутентификации OAuth2 и может выступать как в роли OAuth2-сервера, так и в роли OAuth2-клиента. Это позволяет настраивать как внутреннюю, так и внешнюю аутентификацию.

Базовые параметры аутентификации задаются через веб-приложение администратора Corta в разделе "Системные настройки" в настройках, в секции "Аутентификация".

Corta позволяет задавать настраиваемые требования к паролям, что делает возможным лучше соответствовать вашей модели безопасности.

Требования к паролям настраиваются через веб-приложение администратора Corta в разделе "Системные настройки" > Настройки Авторизации, в секции "Требования к паролям".

Минимальная длина

Параметр минимальной длины позволяет запрещать пользователям использовать короткие и небезопасные пароли. Минимальная длина не может быть установлена меньше 8 символов.

Максимальная длина пароля не настраивается и по умолчанию составляет 256 символов.

Минимальное количество цифр

Этот параметр позволяет задавать минимальное количество цифр, которые пользователь должен использовать в своём пароле. Это требование отключено, если значение установлено на "0".

Минимальное количество специальных символов

Этот параметр позволяет задавать минимальное количество специальных символов, которые пользователь должен включить в свой пароль. Это требование отключено, если значение установлено на "0".

Эта опция должна быть включена для любого рабочего окружения (production). Если проверка безопасности паролей отключена, в интерфейсе пользователя отображается предупреждающее сообщение.

Auth Client (OAuth2/OIDC)

Клиент аутентификации предоставляет высоуровневый контроль доступа к API Corta и его ресурсам. Клиент аутентификации используется приложениями, когда их пользователи пытаются пройти аутентификацию.

Управление клиентами аутентификации

В этом разделе вы можете:

  • просматривать список клиентов аутентификации, созданных в вашем экземпляре Corta;
  • создавать нового клиента, нажав на кнопку "Создать";
  • редактировать существующего клиента, нажав на иконку "Редактировать" рядом с нужным клиентом;
  • управлять глобальными правами доступа клиентов аутентификации, нажав на кнопку "Права".

Базовая конфигурация клиента аутентификации

Параметры базовой конфигурации позволяют как идентифицировать клиента аутентификации, так и определить срок действия и область применения (scope), предоставляемую этим клиентом.

Флажок "Доверенный" отключает заключительный шаг подтверждения, когда пользователь проходит аутентификацию.

Типы предоставления доступа (Grant Types)

Corta поддерживает два типа предоставления доступа в рамках протокола OAuth2: Authorization Code и Client Credentials.

Authorization Code

Тип предоставления authorization code используется для аутентификации пользователей с помощью классического OAuth2-потока.

  • Для включения этого типа выберите опцию: "Используется для аутентификации пользователей (grant type = authorization_code)".
  • Применяется для пользовательской аутентификации.

Client Credentials

Тип предоставления client credentials используется для упрощённого процесса аутентификации. Обычно применяется для аутентификации систем, таких как внешние сервисы или приложения.

  • Для этого типа нужно заполнить опцию "Имя пользователя для имперсонации". Выбранный пользователь будет использоваться для создания контекста безопасности JWT-токена.
  • Для включения этого типа выберите опцию: "Используется для аутентификации машин (grant type = client_credentials)".
Область действия аутентификации (Authorization Scope)

Область действия (scope) аутентификации определяется как перечень ролей, которые могут быть разрешены, запрещены или назначены принудительно при использовании определённого auth-клиента Corteza.

Разрешённые роли

Определяют, какие роли пользователь может иметь при аутентификации с этим клиентом.

Запрещённые роли

Определяют, какие роли пользователь не может иметь при аутентификации с этим клиентом.

Принудительные роли

Определяют, какие роли пользователь обязательно получит при аутентификации с этим клиентом. Если у пользователя нет принудительной роли, она будет назначена автоматически.

Ограничение доступа (Limit Access)

По умолчанию любой пользователь может использовать любой клиент аутентификации. Чтобы ограничить доступ к конкретным клиентам:

  1. Перейдите к нужному клиенту аутентификации.
  2. Установите правило управления доступом "Авторизация клиента".

Если у определённой роли отсутствует правило RBAC authorize client, пользователи с этой ролью не смогут аутентифицироваться через данный клиент.

Навигация по документу