BearPass
Общее
Доступно только для платных тарифов
BearPass поддерживает возможность авторизации по стандарту SSO SAML. При попытке входа через SSO, приложение попытается найти пользователя по логину. Если пользователя еще нет в системе - он будет создан и привязан к провайдеру SSO.
Чтобы настроить SSO, перейдите в соответствующий пункт меню в административном разделе
Пользователь должен иметь право "Настройка SSO"
![](/img/bearpass/bearpass1.png)
Здесь необходимо заполнить данные, получение от провайдера SSO. Пример инструкции для Google Workspace https://support.google.com/a/answer/6087519?hl=ru
Дополнительно можно сделать маппинг атрибутов пользователя из провайдера.
После активации SSO провайдера в форме входа появится кнопка "Войти через SSO"
![](/img/bearpass/bearpass2.png)
Опционально можно настроить шифрование и требование подписей запросов. В настройках со стороны провайдера это тоже должно быть включено.
![](/img/bearpass/bearpass3.png)
Мультифактор
Доба вьте новый ресурс "SAML-приложение":
![](/img/bearpass/bearpass4.png)
Заполните название и адрес, выберите нужный вам поставщик учетных записей:
![](/img/bearpass/bearpass5.png)
Скачайте файл метаданных из Мультифактора:
![](/img/bearpass/bearpass51.png)
И загрузите его в BearPass:
![](/img/bearpass/bearpass52.png)
Укажите ссылку на метаданные из BearPass (убедитесь, что вы активировали SSO на предыдущем шаге):
![](/img/bearpass/bearpass6.png)
Настройте маппинг полей, если требуется:
![](/img/bearpass/bearpass7.png)
Keycloak
Создайте нового клиента с типом SAML, в Client ID укажите урл метаданных BearPass:
![](/img/bearpass/bearpass8.png)
Укажите урл приложения, для редиректов используйте маску:
![](/img/bearpass/bearpass9.png)
Отключите Client signature required:
![](/img/bearpass/bearpass10.png)
Перейдите в Realm settings -> General и скачайте файл метаданных SAML по ссылке:
![](/img/bearpass/bearpass11.png)
Загрузите файл метаданных в BearPass и активируйте SSO:
![](/img/bearpass/bearpass12.png)
После этого авторизация должна заработать, но атрибуты создаваемых пользователей будут пустыми.
Если при авторизации возникает ошибка и в логах BearPass пишется ошибка Found an Attribute element with duplicated Name, измените атрибут ролей: Client Scopes -> role_list (saml) -> Mappers tab -> role list -> Single Role Attribute. Установите этот чекбокс.
Для передачи полей пользователя в BearPass нужно настроить Client scopes и добавить их к провайдеру.
Создайте новый scope для протокола SAML:
![](/img/bearpass/bearpass13.png)
Добавьте mapper на атрибут пользователя:
![](/img/bearpass/bearpass14.png)
Привяжите scope к клиенту:
![](/img/bearpass/bearpass15.png)
Повторите для всех нужных атрибутов и заполните маппинг полей в BearPass:
![](/img/bearpass/bearpass16.png)