Синхронизация с внешним IdP

Скрипт выполняет синхронизацию с внешним поставщиком идентификационных данных (IdP). Текущая версия скрипта:

  • Создает новых пользователей IdP.
  • Создает новые группы IdP.
  • Обновляет членство пользователей в группах IdP.
  • Обновляет заголовки групп.
  • Обновляет роли пользователей.
  • Обновляет данные профиля пользователей.

Требования для запуска

  • Для запуска скрипта синхронизации необходима Node.js версии 20 и выше. Если Node.js не установлена или нужна более новая версия, выберите подходящий вариант установки на сайте Node.js.
  • Настройте конфигурацию для сервиса Auth, используя переменную окружения AUTH_PROVIDERS_CONFIG.
  • Отключите syncUserGroups в AUTH_PROVIDERS_CONFIG для вашего IdP, если вы настроили периодическую синхронизацию с помощью данного скрипта.

Пример запуска скрипта

node ./idp-sync.js \
             usEndpoint=https://us.domain.org \
             authEndpoint=https://auth.domain.org \
             usMasterToken=usmastertoken \
             authMasterToken=authmastertoken \
             idpSlug=someidpslug \
             idpData=./idp-data.json

Где:

  • idpSlug — slug из конфигурации IdP в сервисе Auth;
  • usEndpoint — эндпоинт до сервиса United Storage;
  • authEndpoint — эндпоинт до сервиса Auth;
  • usMasterTokenUS_MASTER_TOKEN мастер токен для сервиса United Storage;
  • authMasterTokenAUTH_MASTER_TOKEN мастер токен для сервиса Auth;
  • idpData — путь до данных из IdP в формате json.

IdP data из источника

Подготовьте данные из IdP в формате json согласно AUTH_PROVIDERS_CONFIG для auth сервиса:

type JsonData = {
            users: {
                idpUserId: string, // внутренний id пользователя из IdP
                login: string,
                email : string | null,
                firstName: string | null,
                lastName: string | null,
                roles: string[], // datalens.admin, datalens.creator, datalens.visitor
            }[];
            groups: {
                groupId: string, // внутренний id группы из IdP
                title: string,
                memberIds: string[], // внутренние id пользователей из IdP - idpUserId
            }[];
        }

Пример idp-data.json для OpenLDAP

{
            "users": [
                {
                    "idpUserId": "id-bob",
                    "login": "bob",
                    "email" : "bob@example.org",
                    "firstName": "Bob",
                    "lastName": "Smith",
                    "roles": ["datalens.visitor"]
                },
                {
                    "idpUserId": "id-carl",
                    "login": "carl",
                    "email" : "carl@example.com",
                    "firstName": "Carl",
                    "lastName": "Snow",
                    "roles": ["datalens.creator"]
                }
                ...
            ],
            "groups": [
                {
                    "groupId": "id-datalensadmins",
                    "title": "DataLens admins",
                    "memberIds": ["id-bob", "id-carl"]
                },
                ...
            ]
        }
Предыдущая
Настройка OIDC-провайдера аутентификации
Следующая
Версия сервиса