Добрый день.
Интересует возможность двухфакторной авторизации с програмным продуктом Squadus (Мой Офис). Как в браузере, так и в мобильном клиенте.
Добрый день!
К сожалению на данный момент инструкции по интеграции с данным продуктом у нас нет.
Из документации данный продукт поддерживает интеграцию по OpenID и SAML.
Вы можете попробовать настроить данные интеграции по нашим статьям Avanpost FAM/MFA+ : 5.3.1. Управление OpenID Connect-приложениями Avanpost FAM/MFA+ : 3.3.2. OAuth/OpenID Connect и Avanpost FAM/MFA+ : 5.3.2. Управление SAML-приложениями
Нашёл в Squadus раздел настроек SAML:
Получил с нашего сервера Avanpost FAM v1.12.5.411 в браузере xml файл (URL: https://avanpost/.well-known/samlidp.xml). Как прописать настройки на стороне Аванпоста и на стороне Squadus’a? В ваших статьях описано очень мало и не понятно.
Добрый день!
На стороне Squadus необходимо настроить следующие параметры:
- Пользовательский вход: https://${baseUrl}/saml2
- IDP SLO Redirect URL: https://${baseUrl}/saml2/logout
- Пользовательская организация: https://${baseUrl}/.well-known/samlidp.xml
После этого необходимо добавить сертификат и закрытый ключ, который были созданы при установки FAM Server. Сертификат и закрытый ключ указан в конфигурационном файле /opt/idp/config.toml в параметрах cert и privateKey.
По настройкам со стороны FAM к сожалению не могу подсказать точно, так как в документации Squadus не описаны параметры Issuer, ACS и Backchannel-logout URL.
Верный параметр Issuer вы можете найти в журналах события сервиса idp при попытке аутентификации. sudo journalctl -xefu idp
В журнале событий будет ошибка.
Касаемо параметра ACS можно попробовать указать ссылку страницы входа в Squadus.
Squadus - это немного модифицированный Rocket.Chat. Может эта ссылка поможет: saml configuration · Issue #2770 · RocketChat/Rocket.Chat · GitHub
Добрый день. Squadus оказывается может работать с OpenID Connect.
Вот пример настройки для KeyCloak:
Подскажите по параметрам из вышеприведённой инструкции и касательно вашей (Настройка авторизации для OpenID Connect-приложений) какие прописать?
Параметры ниже не тестировались, но должны заработать.
На стороне Avanpost FAM создать приложение с параметрами по умолчанию, задать Redirect URI, задать секрет.
В конфигурации RocketChat:
URL - значение issuer из /.well-known/openid-configuration FAM’а
Token Path - значение token_endpoint из /.well-known/openid-configuration
Token sent via - Payload
Identity Path - значение userinfo_endpoint из /.well-known/openid-configuration
Authorize Path - значение authorization_endpoint из /.well-known/openid-configuration
Scope - openid
Param Name for access token - access_token
Id - Client ID в формате UUID/GUID из карточки приложения из административной консоли Avanpost FAM
Secret - заданный на стороне административной консоли FAM’а для приложения секрет
Button Text - Войти через Avanpost FAM 
Произвёл настройку в Squadus и Avanpost. При авторизации выпадает сообщение “Попытка входа не удалась”. В отладке приложения см.ниже:
У вас видимо стоит флажок “публичный”. Попробуйте снять в настройке приложения на стороне Avanpost FAM.
Флажок снял. Появилось окно Аванпоста для аутентификации, однако при попытке ввести данные: сообщение “Undefined” В логах сквадуса:
I20250328-12:09:51.514(3) server.ts:265 System ➔ error Exception while invoking method login Failed to fetch identity from avanpost at https://avanpost.farphor.ru/oauth2/userinfo. failed [401] {“error”:“invalid_token”,“error_description”:“The access token provided is expired, revoked, malformed, or invalid for other reasons.”,“error_hint”:“invalid auth header”} {“traceId”:“9a8267899331ab087f3877089ee766e5”}
Лог приложения Аванпоста:
