Перейти к основному содержанию

Система авторизации

Около 2 мин

Система авторизации (OAuth2, Keycloak, ADFS)

OAuth2 (рекомендуется)

Корпоративная авторизация через внешние провайдеры (Keycloak, Azure AD, и др.)

ПараметрОписаниеПример значения
OAuthIsEnabledВключение OAuth2true
OAuthClientIdID клиента в провайдереstormbpmn-client
OAuthClientSecretСекрет клиентаyour-client-secret
OAuthAuthorizeUriURL авторизацииhttps://keycloak.company.com/auth/realms/master/protocol/openid-connect/auth
OAuthUserInfoUriURL получения информации о пользователеhttps://keycloak.company.com/auth/realms/master/protocol/openid-connect/userinfo
OAuthTokenUriURL получения токенаhttps://keycloak.company.com/auth/realms/master/protocol/openid-connect/token
OAuthButtonLabelТекст на кнопке входа"Войти через корпоративный аккаунт"
OAuthRedirectUriURL возврата после авторизацииhttps://stormbpmn.company.com/app/signin

Настройка Keycloak

Пошаговая инструкция для Keycloak 26.0.7:

  1. Создать клиента в нужном realm
  2. Client ID: stormbpmn-client
  3. Valid redirect URIs: https://stormbpmn.company.com/app/signin
  4. Web origins: https://stormbpmn.company.com
  5. Client authentication: ON
  6. Standard flow: ON, Implicit flow: ON
  7. Client Scopes: email и profile должны быть default
  8. Получить Client Secret на вкладке Credentials

Microsoft ADFS

Особенности Microsoft ADFS

Компания Microsoft имеет специфический (альтернативно-одарённый) подход к стандартам OAuth2/OpenID Connect. В частности, ADFS не возвращает информацию о пользователе через стандартную ручку /userinfo, что усложняет интеграцию. Также интерфейсы ADFS (особенно в русской локализации) могут показаться запутанными.

Настройка авторизации через ADFS требует больше времени и внимания по сравнению с другими провайдерами.

Шаг 1: Настройка ADFS

Создание группы приложений

  1. В оснастке ADFS Management создайте группу приложений:
    Создание группы приложений

  2. В группе создайте 2 приложения:
    Серверное приложение

Настройка серверного приложения

  1. Первое приложение - Server application (серверное приложение):
    Настройка серверного приложения

  2. В настройках укажите:

    • Правильный Redirect URI перенаправления
    • Запомните Client ID и Client SecretВеб-API приложение
Настройка веб-API

  1. Второе приложение - Web API (веб-интерфейс API):

  2. Создайте Relying party identifier (идентификатор проверяющей стороны) и запомните его
    Политика доступа

Настройка политик доступа
  1. Выберите подходящую Access Control Policy (политику контроля доступа):
    Правила преобразования
Настройка маппинга атрибутов

  1. В разделе Issuance Transform Rules (Правила преобразования выдачи) настройте маппинг атрибутов:

    Маппинг атрибутовРазрешения клиента

Важно: маппинг claims

StormBPMN ожидает следующие claims в токене:

Поле StormBPMNОжидаемый claimТип
emailemailСтандартный
firstNamegiven_nameСтандартный
lastNamefamily_nameСтандартный
fullNamefull_nameКастомный
positionpositionКастомный

Кастомные claims (Полное Имя, Должность) должны быть созданы и опубликованы в описании утверждений (Claims Description).
Настройки в админке

Настройка разрешений
  1. Установите разрешения клиента:

Завершенная настройка

Если все шаги выполнены внимательно, настройка ADFS на стороне сервера завершена.

Шаг 2: Настройка StormBPMN

Параметры для настройки

Вам потребуются сохраненные значения:

  • Client ID (из серверного приложения)
  • Client Secret (из серверного приложения)
  • Resource identifier (идентификатор ресурса из Web API)
Настройка в административной панели

  1. Перейдите в административную панель: /app/admin → вкладка Безопасность

  2. Укажите следующие параметры:

ПараметрЗначениеПримечание
OAuthClientIdВаш Client IDИз серверного приложения ADFS
OAuthClientSecretВаш Client SecretИз серверного приложения ADFS
OAuthAuthorizeUri/adfs/oauth2/authorizeСтандартный путь ADFS
OAuthUserInfoUri/adfs/userinfoДля обратной совместимости (ADFS не использует эту ручку)
OAuthTokenUri/adfs/oauth2/tokenСтандартный путь ADFS
OAuthButtonLabel"Войти через ADFS"Текст на кнопке входа
OAuthIsEnabledtrueВключение OAuth2
OAuthRedirectUrihttps://your-storm-url/app/signinURL вашего StormBPMN
OAuthResponseTypecodeТип ответа
OAuthScopeopenid profile emailОбласти доступа
OAuthCodeChallengeMethodS256Метод challenge
OAuthFlowModePKCEРежим потока
OAuthResourceВаш Resource identifierИз Web API приложения

Завершенная настройкаЗавершенная настройка

Дополнительные требования

Сертификаты

На самоподписанных сертификатах интеграция работать не будет. Требуется добавить доверенные сертификаты по инструкции в этом разделе.

Тестирование

Настройка протестирована и гарантированно работает с:

  • Windows Server 2022
  • ADFS 4.0

Если интеграция не работает, проверьте:

  • Корректность всех параметров
  • Правильность маппинга claims
  • Наличие всех необходимых разрешений в ADFS
  • Доверенные сертификаты (если используются)

Проверка Claims

Дополнительная проверка прав в токене OAuth2:

ПараметрОписаниеПример значения
OAuthCheckClaimВключить проверкуtrue
OAuthClaimNameНазвание claimgroups
OAuthClaimValueТребуемое значениеstormbpmn-users

Встроенная авторизация

Только для тестирования

Встроенная авторизация подходит только для тестовых сред. В production используйте OAuth2.

Аварийный вход: Добавьте ?showBasicLogin=true к URL входа для доступа к базовой форме, даже если OAuth2 включен.