Использование Google в качестве поставщика единого входа

Важно

При использовании технологии единого входа (SSO) необходимо создать учетные записи пользователей в системе Документерра для каждого пользователя SSO, который авторизуется в стороннем сервисе. Это необходимо для того, чтобы система Документерра могла применять определенные права доступа к авторизованному пользователю. Эти права доступа настраиваются в профиле пользователя Документерры. REST API Документерры можно использовать для массового создания пользователей или для создания нового пользователя Документерры каждый раз, когда с вашей стороны создается новый пользователь приложения.

Учётные записи авторизованных читателей могут создаваться автоматически при их первом входе через единый вход (SSO). Функционал доступен как часть аддона Корпоративная безопасность, и для его включения напишите нам в службу поддержки.


Вы можете войти в систему Документерра, используя Google в качестве поставщика OpenID Connect. Ниже приведены инструкции по настройке веб-приложения Google и интеграции с порталом Документерры для использования Google в качестве поставщика OpenID Connect.


Настройка веб-приложения Google

Прежде всего, для настройки веб-приложения Google вам нужно зарегистрировать портал Документерра в консоли Google Developer Console в качестве веб-приложения. При первом открытии консоли вам будет предложено создать новый проект.

Создание нового проекта в Google Developer Console.

  • Укажите имя нового проекта и нажмите Create (Создать).
    Название нового проекта. 
  • После создания нового проекта откройте экран APIs & Services и нажмите Credentials (Учетные данные), чтобы продолжить настройку.
    Раздел Credentials в APIs & Services.  
  • На экране Credentials (Учётные данные) нажмите кнопку Create credentials (Создать учётные данные) и выберите опцию OAuth client ID.
    Создать учетные данные.  
  • Следующий шаг — настройка экрана подтверждения, который определяет, что будет отображаться пользователю на экране входа Google при авторизации в только что созданном проекте. Этот шаг можно пропустить, если экран подтверждения уже настроен. Нажмите кнопку Configure consent screen (Настроить экран подтверждения).
    Настройка экрана подтверждения.
  • Выберите подходящий вам тип пользователя:
    Выбор подходящего типа пользователя.
  • Укажите название приложения, адрес электронной почты ответственного лица, список авторизованных доменов и, при необходимости, некоторые дополнительные параметры.
    Указание данных.
  • Требуется добавить авторизованный домен documenterra.net. Если для вашего портала настроен собственный домен, возможно, его также потребуется включить в этот список.
    Добавление авторизованного домена.
  • На следующем шаге вы сможете добавить или удалить области. Для начала убедитесь, что список областей определения для Google API включает области электронной почты и openid.
    Список областей определения.
  • Вы можете сгенерировать идентификатор клиента и секрет клиента для приложения, когда будет настроен экран подтверждения. Для этого укажите тип приложения как веб-приложение, введите внутреннее имя приложения и укажите URL-адрес перенаправления авторизации приложения. Он должен быть следующим (косая черта в конце обязательна): https://<YOUR_PORTAL_NAME>.documenterra.net/oauth2/
    Выбрать веб-приложение как тип приложения.
    Указать URL-адрес перенаправления авторизации приложения.

  • Google сгенерирует для вас идентификатор и секрет клиента:
    Идентификатор и секретный ключ клиента. 

  • Чтобы перейти к настройкам Документерры, необходимо получить авторизацию и URL-адреса токенов от Google. Этот шаг можно пропустить, если вы настраиваете заранее заданного поставщика Google в системе Документерра. Для получения этих данных нажмите кнопку Скачать рядом с названием только что созданного приложения и скачайте файл JSON, содержащий все необходимые данные.
    Скачать файл JSON приложения.

Настройка Документерры

Теперь давайте настроим Документерру для работы с Google в качестве поставщика OpenID Connect. Выполните следующие действия:

  • Чтобы портал Документерра работал с поставщиком OpenID Connect, необходимо зарегистрировать клиента на портале. Это может сделать пользователь с правами администратора через Настройки → Безопасность → Единый вход:
    Настройки единого входа в Документерре.  
  • На странице настроек Единого входа выберите предопределенное подключение через Google, укажите идентификатор и секретный ключ клиента, полученные от Google ранее. Включите подключение и сохраните настройки.
    Конфигурация единого входа через Google.
  • После сохранения настроек подключения вы можете установить этого поставщика в качестве поставщика по умолчанию. Для этого выберите имя клиента в поле Авторизация через.
    Меню выбора поставщика.

Если вы хотите продолжить использовать диалоговое окно входа Документерры, оставьте поле Авторизация через без изменений. Вы сможете войти в свой портал, используя учетные данные Google, из диалогового окна входа, нажав соответствующую кнопку:

Кнопка "Войти с помощью Google" на странице логина.

Использование Google в качестве поставщика OpenID

Чтобы проверить работу автоматической авторизации через OpenID Connect, необходимо убедиться, что в системе существует пользователь с адресом электронной почты, который соответствует действующей учетной записи Google. 

  • Перейдите в Настройки → Управление пользователями → Авторы и нажмите Создать автора, чтобы добавить нового пользователя.
    Создание нового пользователя.
  • Укажите информацию о новом пользователе, указав адрес электронной почты, привязанный к действующей учётной записи Google.Укажите данные нового пользователя в диалоговом окне создания пользователя.
  • После создания пользователя рекомендуется выйти из учетной записи администратора или открыть новое окно браузера в режиме инкогнито. Также следует проверить, что в текущем сеансе браузера не выполнен вход с тестовой учетной записи Google. Вы можете открыть страницу учётной записи Google, чтобы проверить, что в системе нет активных входов. Выход из учетной записи Google.
  • Предположим, вы указали Google как способ входа по умолчанию. В таком случае при открытии страницы из публикации с ограниченным доступом по прямой ссылке, например, это может быть ссылка, которую ваш портал или приложение предоставляет в качестве ссылки на страницу справки или статью с часто задаваемыми вопросами, система перенаправляет на страницу входа в учетную запись Google, так как вход в Google еще не выполнен.Вход в учетную запись Google
  • После ввода действительных учетных данных осуществляется вход в систему Документерра. При повторном открытии этой страницы после выхода из Документерры, если в текущем сеансе браузера выполнен вход в Google, Документерра выполняет автоматический вход без запроса учетных данных.

  • Чтобы поставщик OpenID Connect всегда отображал подсказку для входа в систему, можно изменить параметр Поведение авторизации, установив его на значение Требуется подсказка логина.
    Выбор поведения авторизации.

  • На этот раз, даже если вы вошли в Google, при входе в Документерру вы всё равно увидите запрос на вход от Google:Окно выбора аккаунта для входа с помощью Google.

  • Даже если Google выбран в качестве поставщика единого входа по умолчанию, вы все еще можете войти на портал Документерры, используя собственные учетные данные (учетную запись пользователя Документерры, без SSO). Для этого перейдите по специальной ссылке: https://<YOUR_PORTAL_NAME>.documenterra.net/login/?error=no&no-sso=true

Отлично! Вы успешно настроили Google в качестве поставщика OpenID Connect для своего портала онлайн-документации.