Предупреждение применении иностранного языка
Войти
Использование
Интеграции
Код в Нейро
API

Security Assertion Markup Language

Доступность функции

  • Поддерживается на тарифах Enterprise.
  • Для включения и настройки необходимы права владельца инстанса или администратора.

 

SAML (Security Assertion Markup Language) — это открытый стандарт на основе XML для обмена данными аутентификации и авторизации между различными сторонами, в частности, между поставщиком идентификационных данных (IdP) и поставщиком услуг (SP). Основная функция SAML — упрощение процесса входа в систему, когда пользователи могут входить с одним набором учетных данных и получать доступ к нескольким системам без необходимости каждый раз вводить учетные данные.

Этот раздел объясняет, как активировать и настроить SAML-авторизацию (SSO) в Нейро42. Подробнее об основах SAML можно прочитать в простом разборе “SAML Explained in Plain English”. https://www.onelogin.com/learn/saml

Что включает данный раздел

  • Как настроить SAML в Нейро42
  • Как подключить популярные IdP (например, Okta, Azure AD, Auth0, Keycloak и др.)
  • Как управлять пользователями при включенном SAML
  • Как диагностировать и исправлять ошибки настройки

Настройка SAML в Нейро42

 

1. Включение SAML в интерфейсе Нейро42

  • Перейдите в Настройки — SSO.
  • В блоке SAML обратите внимание на два ключевых параметра:
    • Redirect URL
    • Entity ID сервиса (Service Provider Entity ID)

Эти значения потребуется указать в вашей системе управления идентификацией (IdP).

Дополнительно, если ваш IdP позволяет загружать конфигурацию через SAML Metadata, вы можете открыть ссылку Entity ID — она выдает XML-описание SP, пригодное для импорта.

Если Нейро42 работает за балансировщиком нагрузки, убедитесь, что переменная окружения N42_EDITOR_BASE_URL указана корректно.

 

2. Настройка SAML на стороне Identity Provider

В IdP вам потребуется:

  • Создать отдельное приложение для Нейро42.
  • Указать:
    • Redirect URL
    • Entity ID
  • При необходимости — указать email и имя пользователя.
  • После завершения настройки — получить Metadata XML или URL на него.

 

3. Загрузка метаданных в Нейро42

Нейро42 поддерживает два способа подгрузки данных от IdP:

Вариант 1. Метаданные по URL

Скопируйте ссылку Metadata URL из вашего IdP и вставьте в поле Identity Provider Settings.

Вариант 2. Raw XML

  • Скачайте файл метаданных у вашего IdP.
  • В Нейро42 переключите режим поля Identity Provider Settings на XML.
  • Вставьте весь XML целиком.

После этого:

  • Нажмите Сохранить настройки.
  • Для проверки нажмите Тестировать настройки.
  • Активируйте переключатель SAML 2.0 — Включено.

SAML Request Type

Нейро42 не поддерживает POST Binding.

Пожалуйста, настройте IdP на использование HTTP Redirect Binding.

 

Базовая схема настройки IdP

В зависимости от выбранного IdP шаги могут отличаться, но общий набор действий выглядит так:

  1. Создание приложения (Service Provider)
    Создайте в IdP приложение/интеграцию специально для Нейро42.
  2. Настройка отображения атрибутов
    Сопоставьте поля пользователя между IdP и Нейро42 следующим образом:
Имя атрибута (SAML) Формат Значение (со стороны IdP)
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress URI Reference Email пользователя
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/firstname URI Reference Имя
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/lastname URI Reference Фамилия
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn URI Reference Логин / email

 

Документация популярных IdP

 

IdP Документация
Auth0 «Configure Auth0 as SAML Identity Provider: Manually configure SSO integrations»
Authentik «Applications and the SAML Provider»
Azure AD «SAML authentication with Azure Active Directory»
JumpCloud «How to setup SAML (SSO) applications with JumpCloud»
Keycloak Getting Started Guide (в зависимости от среды)
Okta Нейро42 предоставляет подробный гайд по Okta Workforce
PingIdentity PingOne SSO

 

Настройка SAML SSO с Okta Workforce Identity

Этот раздел адаптирован специально под Okta Workforce — классическую корпоративную платформу Okta.

Требования:

  • Аккаунт в Okta Workforce Identity.
  • Redirect URL и Entity ID из настроек SAML в Нейро42.
  • В зависимости от конфигурации Okta может потребоваться 2FA.

Перед началом убедитесь, что вы изучили общий раздел Настройка SAML.

 

Пошаговая инструкция

1. Создание приложения в Okta

  • Откройте Okta Admin.
  • Перейдите в Applications — Applications.
  • Нажмите Create App Integration.
  • Выберите SAML 2.0 — Next.
  • В поле App Name укажите: “Neuro42 SAML” — Next.

 

2. Конфигурация SAML

  • В разделе Configure SAML заполните:
Поле Значение
Single sign-on URL Redirect URL из Нейро42
Audience URI (Entity ID) Entity ID из Нейро42
Default RelayState оставить пустым
Name ID format EmailAddress
Application username Okta username
Update username on Create and Update
  • Теперь задайте Attribute Statements:
Name Format Value
http://schemas…/firstname URI Reference user.firstName
http://schemas…/lastname URI Reference user.lastName
http://schemas…/upn URI Reference user.login
http://schemas…/emailaddress URI Reference user.email
  • После заполнения нажмите Next.

 

3. Назначение пользователей

  • Откройте созданное приложение в Okta.
  • Перейдите в Назначения.
  • Нажмите Назначить — Назначить людям
  • Назначьте нужных пользователей.
  • Подтвердите их логин (как email).

 

4. Импорт метаданных в Нейро42

  • В Okta откройте вкладку Sign On.
  • Скопируйте Metadata URL.
  • Перейдите по ссылке, получите XML.
  • Вставьте XML в поле Identity Provider Settings в Нейро42.
  • Нажмите Сохранить — Тестировать.

Если вы не авторизованы, Okta предложит войти. В случае успеха Нейро42 покажет атрибуты, которые вернул IdP.

 

Управление пользователями при включенном SAML

Исключение пользователей из SAML (разрешить вход по паролю)

Вы можете разрешить отдельным пользователям обходить SAML:

  1. Перейдите в Настройки — Пользователи.
  2. Откройте меню рядом с пользователем.
  3. Выберите Разрешить ручной вход.

 

Удаление пользователей

Если вы удалили пользователя в IdP:

  • Он не будет автоматически деактивирован в Нейро42.
  • Вам нужно вручную удалить его во вкладке Пользователи.

 

Troubleshooting — решение проблем с SAML

Если тест SAML выдает ошибку, проверьте:

1. Использует ли ваше приложение в IdP действительно протокол SAML?

Некоторые продукты поддерживают несколько вариантов SSO.

2. Корректно ли указаны Redirect URL и Entity ID?

Путаница в этих значениях — самый частый источник ошибок.

3. Корректен ли формат XML?

Проверьте:

  • нет ли лишних символов
  • закрыты ли теги
  • совпадает ли certificate fingerprint

 

4. Проблемы binding

Напоминаем: поддерживается только HTTP Redirect Binding.

Предупреждение о применении иностранного языка

Настоящий мануал включает иностранные термины и выражения, оставленные в оригинале ввиду специфики предметной области и сложности однозначного перевода на русский язык. Данные элементы используются исключительно в целях повышения точности и ясности изложенного материала, поскольку точные аналоги на русском языке либо отсутствуют, либо существенно усложняют восприятие информации пользователями-профессионалами.

Техническая документация не является информацией для широкого круга потребителей. Документация предназначена исключительно для специализированных целей и рассчитана на аудиторию профессионалов, обладающих соответствующей квалификацией и знанием отраслевых стандартов и терминологии. Использование иностранной лексики согласуется с положениями действующего российского законодательства, регулирующего употребление иностранных слов в специальных материалах, направленных на профессиональных пользователей

Данная мера принята для минимизации рисков неправильного толкования ключевых понятий и предотвращения негативных последствий, связанных с некорректностью переводов сложных технических терминов и выражений.

Мы обращаем внимание на тот факт, что наличие иностранного языка в данной документации обусловлено профессиональной необходимостью и соответствует установленным нормам и правилам использования специализированной литературы и документации в Российской Федерации.

ОК

Свяжитесь с нами

* нажимая на кнопку, Вы даете согласие на обработку персональных данных

Мы используем куки! Что это значит?
Ok