База знаний: Indeed Access Manager 9 > Примеры настройки Indeed AM с различными системами > Identity Provider
Настройка Indeed AM IDP + EvaTeam (OIDC)
Автор Kirill Osipov, Last modified by Kirill Osipov на 24 февраля 2026 12:05 PM

Оглавление

  1. Предварительные требования
  2. Настройка на стороне Indeed AM
  3. Настройка OIDC аутентификации в EvaTeam
  4. Тестирование сценария аутентификации
  5. Дополнительная информация

Предварительные требования

  • Установленный и настроенный Indeed AM 9.3.
  • Установленный и настроенный Indeed AM Identity Provider
  • Установленный провайдер Indeed AM Software TOTP
  • Машина с установленным и настроенным сервером EvaTeam.
  • Пользователи, которые будут использовать систему EvaTeam, обязательно должны иметь заполненный атрибут с email в AD.

Настройка на стороне Indeed AM Identity Provider

  1. В конфигурационном файле .../am/idp/app-settings.json на сервере Indeed AM необходимо заполнить секцию "OIDC":
    “ClientId” - необходимо указать произвольное значение, которое будет использоваться для идентификации приложения EvaTeam в IDP, это значение также нужно будет продублировать на сервере EvaTeam.
    • “ClientSecret” - необходимо также указать произвольное значение, которое нужно будет продублировать на сервере EvaTeam;
    • “PostLogoutRedirectUris” - указываем следующий адрес: “https://<evateam_server_host>/desk/cards”;
    • “RedirectUris” - указываем следующий адрес: "https://<evateam_server_host>/sso/openid-connect";
      “Requirements” – оставляем стандартное значение `ft:pkce`.



  2. В этом же конфигурационном файле (/am/idp/app-settings.json) заполняем секцию LoginFormats:
    • "ServiceProvider" - указываем ID клиента, который создали на первом шаге;
    • "InLoginFormat" - указываем значение "Name" как в примерах выше;
    • "OutLoginFormat" - указываем значение "PrincipalName" как в примерах выше. 

  3. В этом же конфигурационном файле (/am/idp/app-settings.json) заполняем секцию CustomAttributes:
    • "ServiceProvider" - указываем ID клиента, который создали на первом шаге;
    • "Name" - указываем значение "email";
    • "UserNameFormat" - указываем значение "Email".

  4. В Конфигурационном файле .../am/.env необходимо заполнить секцию с CUSTOM_SP,  а точнее указать в свободном SP DNS имя по которому доступен сервер EvaTeam.



  5. После редактирования конфигурационный файлов, необходимо перезапустить контейнер с IDP.
    • sudo docker compose down idp
    • sudo docker compose up -d idp

  6. Далее необходимо зайти в консоль администрирования Management Console и добавить приложение Identity Provider в Политику. Если ранее не были загружены лицензии для данного модуля интеграции, необходим предварительно загрузить лицензии (также в MC).
    • В MC необходимо перейти на вкладку Политики и создать Политику. Если есть ранее созданная  политика, можно использовать её;


    • Далее переходим в политику и выбираем раздел Приложения, здесь необходимо добавить приложение Поставщик учетных данных Identity Provider.


    • Далее переходим в раздел Область действия и добавляем необходимых пользователей, которые будут использовать сервис EvaTeam. Добавлять можно как отдельных пользователей, так и группы / каталоги.

Настройка сервера EvaTeam

Необходимо зайти в систему Evateam и переключиться в режим Администратора (учетные данные сервисного администратора получаются на этапе развертывания системы).

Далее переходим в Настройки – OpenID Connect SSO. Здесь нужно ввести произвольное имя и нажать кнопку Добавить.

Далее необходимо перейти в редактирование созданного SSO коннектора.

Здесь необходимо заполнить следующие параметры:

  • “Имя объекта” - название которое будет использовать на кнопке аутентификации в сервис;
  • “Домен для поиска” - название используемого домена.
  • “Тип”: Custom.
  • “Отключено” - снять галочку.
  • “URL внешней системы” - адрес до Indeed AM IDP сервера: https://<indeedam_core_host>/am/idp
  • “Client ID” - id провайдера, заданный на шаге 1, в примере это evateam.
  • “Secret” – значение секрета, заданного в шаге 1.
  • “Scope” – дефолтное значение openid.
  • “Callback URL” – генерируется автоматически, менять не нужно.
  • “Создать пользователя при входе” – чекбокс поставить.
  • “Username Claim” – указываем значение email.
  • “Включить PKCE” – чекбокс поставить.

Остальные параметры следует заполнять согласно требованиям Вашей инфраструктуры.

Тестирование сценария

На странице авторизации EvaTeam необходимо выбрать опцию Indeed IDP. (название может отличаться, оно задается в предыдущем шаге в настройке SSO EvaTeam)

Далее будет выполнено перенаправление на страницу аутентификации Indeed AM IDP. Здесь необходимо ввести доменную учетную запись и использовать один из доступных аутентификаторов.

После аутентификации при помощи выбранного метода, будет выполнено перенаправление на главную страницу EvaTeam.

Для выхода из системы, нужно нажать на иконку профиля и выбрать опцию “Выход”.

После выхода, будет выполнено перенаправление на страницу IDP. Ваша сессия будет завершена, для повторного входа в систему необходимо повторно пройти аутентификацию в Indeed AM IDP.

В консоли администратора Indeed AM Management Console можно наблюдать события об успешной аутентификации и выходе из системы EvaTeam.

Дополнительная информация

В предварительных требованиях указано: "Пользователи, которые будут использовать систему EvaTeam, обязательно должны иметь заполненный атрибут с email в AD".
Это связано с требованием системы EvaTeam, т.к. на основе именно email система создает Логин для учетной записи. На странице пользователя можно отследить Email и сгенерированный Логин.

В части тестирования демонстрируется работа аутентификации при помощи провайдера Software TOTP. Использовать же можно не только данный провайдер, но также и ряд других.
Список доступных для аутентификации в IDP провайдеров расположен в документации: Indeed Identity Provider | Документация Indeed Access Manager

(0 голос(а))
Эта статья полезна
Эта статья бесполезна