Внешний IDP (объяснение)
IDP ― это сокращение для Identity Provider. Внешний IDP ― это внешнее приложение и служба, в которых можно хранить данные удостоверений пользователей и управлять ими, а также предоставлять функции аутентификации пользователей для других систем. Внешний IDP можно связать с ПО для управления видео XProtect.
XProtect поддерживает внешние IDP, совместимые с механизмом OpenID Connect (OIDC).
Аутентификация пользователя
Если настроен внешний IDP, клиенты XProtect поддерживают использование внешних IDP в качестве дополнительной опции аутентификации.
Когда адрес компьютера на экране входа клиента указывает на VMS XProtect с настроенным внешним IDP, будет инициирован вызов API, и опция аутентификации для внешнего IDP будет доступна на экране входа. Вызов API активируется при запуске клиента и при каждом изменении адреса.
Конкретный API, который запрашивает клиент, является общедоступным API, который не требует аутентификации пользователя, поэтому клиент всегда может прочитать эту информацию.
Заявки
Заявка ― это заявление о себе, которое делает такой объект как пользователь или приложение.
Заявка состоит из названия заявки и значения заявки. Например, название заявки может быть стандартным названием, описывающим содержимое значения заявки, а значение заявки может быть именем группы. Другие примеры заявок от внешнего IDP: Пример заявок от внешнего IDP.
Заявки не являются обязательными. Однако они необходимы для автоматического связывания пользователей внешних IDP с ролями в VMS XProtect для определения разрешений пользователей. Заявки включаются в токен идентификатора пользователя из внешнего IDP и посредством связи с ролями определяют разрешения пользователя в XProtect.
Если заявки, связанные с ролями VMS XProtect, не предоставлены пользователям внешнего IDP, пользователи внешнего IDP могут быть созданы в VMS XProtect при первом входе в систему. В этом случае пользователи внешнего IDP не привязаны ни к каким ролям. Затем администратор VMS XProtect должен вручную добавить пользователей к ролям.
Предварительные условия для внешних IDP
Следующие шаги необходимо выполнить во внешнем IDP, прежде чем он будет настроен в VMS.
-
Идентификатор и секретный ключ клиента для использования с VMS XProtect должны быть созданы во внешнем IDP. Дополнительные сведения приведены в разделе Уникальные пользовательские имена для пользователей внешнего IDP .
-
Должен быть известен центр аутентификации внешнего IDP. Для получения дополнительной информации см. информацию о центре аутентификации для внешнего IDP в диалоговом окне Параметры.
-
URI перенаправления на VMS XProtect должны быть настроены в IDP. Дополнительные сведения приведены в разделе Добавление URI перенаправления для веб-клиентов.
-
При необходимости для пользователей или групп в IDP необходимо настроить заявки, связанные с VMS.
-
VMS XProtect должна быть полностью настроена с использованием сертификатов, чтобы гарантировать, что весь обмен данными осуществляется через зашифрованный протокол https., в противном случае большинство внешних IDP не будут принимать запросы от VMS XProtect и ее клиентов, или часть потока обмена данными и обмен токенами безопасности не будут выполнены.
-
Для VMS XProtect и всех клиентских компьютеров или смартфонов, которые должны использовать внешний IDP, должна быть возможность связаться с адресом входа внешнего IDP.
Предоставление пользователям возможности входить в ПО для управления видео XProtect через внешнего IDP
-
Из внешнего IDP создайте пользователей и заявки для идентификации пользователей как пользователей внешнего IDP в VMS XProtect. Создание заявок не является обязательным шагом, но именно так вы включаете автоматическое связывание пользователей с ролями. Дополнительные сведения приведены в разделе Заявки.
-
Из VMS XProtect создайте конфигурацию, которая позволяет Identity Provider, встроенному в VMS, обращаться к внешнему IDP. Дополнительные сведения о том, как создать конфигурацию для внешнего IDP, приведены в разделе Добавление и настройка внешнего IDP.
-
Из ПО для управления видео XProtect настройте аутентификацию пользователей, привязав заявки пользователей от внешнего IDP к ролям XProtect. Дополнительные сведения о том, как привязывать заявки к ролям, приведены в разделе Привязка заявок от внешнего IDP к ролям вXProtect.
-
Войдите в клиент XProtect, используя внешний IDP для аутентификации пользователя, см. Войдите систему через внешнего IDP.
Идентификаторы URI перенаправления
Идентификатор URI перенаправления задает страницу, на которую пользователя перенаправляется после успешной аутентификации. Во внешнем IDP необходимо добавить адрес сервера управления, за которым следует Путь обратного вызова, заданный в XProtect Management Client. Например, https://management-server-computer.company.com/idp/signin-oidc
В зависимости от того, как осуществляется доступ к VMS XProtect, как настроена сеть, серверы и Microsoft Active Directory, может потребоваться несколько URI перенаправления, см. некоторые примеры ниже:
Примеры
Сервер управления с доменом в URL-адресе или без него:
-
“https://[server_name]/idp/signin-oidc”
-
“https://[server_name].[domain_name]/idp/signin-oidc”
Мобильный сервер с доменом в URL-адресе или без него:
-
“https://[server_name]:[mobile_port]/idp/signin-oidc”
-
“https://[server_name].[domain_name]:[mobile_port]/idp/signin-oidc”
Если мобильный сервер настроен для доступа через Интернет, также необходимо добавить общедоступный адрес и порты.
Уникальные пользовательские имена для пользователей внешнего IDP
Для пользователей, которые входят в Milestone XProtect через внешнего IDP, автоматически создаются пользовательские имена.
Внешний IDP предоставляет набор заявок для автоматического создания имени для пользователя в XProtect, а в XProtect используется алгоритм для получения от внешнего IDP имени, являющегося уникальным в базе данных ПО для управления видео.
Пример заявок от внешнего IDP
Заявки состоят из названия заявки и значения заявки. Пример:
Название заявки | Стоимость заявки |
|---|---|
| name | Раз Ван |
| по эл. почте | 123@domain.com |
| amr | pwd |
| idp | 00o2ghkgazGgi9BIE5d7 |
| preferred_username | 321@domain.com |
| vmsRole | Оператор |
| locale | ru-RU |
| given_name | Раз |
| family_name | Линдберг |
| zoneinfo | Америка/Лос-Анджелес |
| email_verified | Истина |
Использование номера эпизода заявки для создания пользовательских имен в XProtect
В XProtect приоритет поиска при создании пользователя в ПО для управления видео XProtect определяется номером эпизода заявки, указанным в приведенной ниже таблице. В ПО для управления видео XProtect используется первое доступное имя заявки:
Название заявки | Номер эпизода | Описание |
|---|---|---|
| UserNameClaimType | 1 | Настроенная привязка с одной заявкой, задающая имя пользователя. Заявка задается в поле Заявка для использования при создании пользовательского имени на вкладке Внешний IDP в разделе Инструменты > Параметры. |
| preferred_username | 2 | Заявка, которая может поступить от внешнего IDP. Стандартная заявка, обычно используемая в OIDC (OpenID Connect). |
| name | 3 | |
| given_name family_name | 4 | Имя и фамилия вместе, например «Боб Джонсон». |
| по эл. почте | 5 | |
| Первая доступная заявка + #(первый доступный номер) | 6 | Например, «Боб#1» |
Указание конкретных заявок для создания пользовательских имен в XProtect
Администраторы XProtect могут задать конкретную заявку от внешнего IDP, которая должна использоваться для создания пользовательского имени в ПО для управления видео XProtect. Когда администратор задает заявку, которую необходимо использовать при создании пользовательского имени в ПО для управления видео XProtect, название заявки необходимо писать именно так, как выглядит название заявки от внешнего IDP.
-
Заявку, которую необходимо использовать для пользовательского имени, можно задать в поле Заявка для использования при создании пользовательского имени, на вкладке Внешний IDP в разделе Инструменты > Параметры .
Удаление пользователей внешнего IDP
Удаление пользователей, созданных в XProtect регистрационным именем внешнего IDP, осуществляется по тому же принципу, что и удаление базового пользователя, причем пользователя можно удалить в любой момент времени после его создания.
Если пользователь удален в XProtect, и этот пользователь повторно входит в систему через внешнего IDP, в XProtect будет создан новый пользователь. Тем не менее данные, связанные с пользователем в XProtect (например, данные закрытого просмотра и роли), будут утрачены, и эту информацию потребуется вновь создавать для пользователя в XProtect.
При удалении внешнего IDP в Management Client удаляются и любые пользователи, подключенные к ПО для управления видео через внешнего IDP.