[PHP, IT-инфраструктура, Сетевые технологии, API, Облачные сервисы] Synology SSO Server – управление авторизацией и доступ к сервисам с сайта

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
17-Авг-2020 17:32

Некоторое время назад передо мной встала задача, в целях защиты коммерческой тайны своих клиентов, отказаться от использования сторонних облачных сервисов.
Первое и самое логичное – предоставить им доступ на уже имеющийся в наличии Synology.
И тут возникло желание сделать это красиво, не отдельным логином/паролем, а с использованием уже выданных ранее от личного кабинета. «Бесшовный» переход из личного кабинета на сервисы Synology – то, что нужно.
Описание и скрипт под катом
Для дальнейшей работы нам понадобятся установленный LDAP Server и SSO Server.
SSO Server – это собственная реализация OAuth2.0 от Synology.
Настраиваем LDAP и заводим нужного пользователя, устанавливаем ему права на доступы к сервисам.
Далее вступает в работу написанный мной php скрипт, который мы устанавливает на сайт. Он не большой и выложен на GitHub.
С ним все просто. Скачиваем и размещаем на сайт в папку /my.
В config.php нужно заменить следующие значения на свои
  • APP_ID – вы получите его на следующем этапе, при регистрации в SSO Server
  • SSO_HOST – адрес хоста для доступа к Synology
  • LOCAL_HOST – адрес сайта на котором лежит скрипт
  • REDIRECT_URI – адрес по которому доступен скрипт SSO_Oauth.php

В index.php (место обозначено) добавить дальнейшую логику или переадресацию после того как пользователь успешно авторизован.
Далее необходимо привязать авторизацию на сайте через SSO Server. В нем все совсем просто – Открываем SSO Server > Список приложений > Добавить > Вводим название и URI адрес на скрипт SSO_Oauth.php. После нажатия на «Ок», будет сгенерирован ID приложения. Его нужно скопировать и разместить в нашем config.php > APP_ID.
Таким образом, если пользователь прошел авторизацию на вашем сайте через SSO, то перейдя по ссылке на любой из сервисов Synology, к которому у него открыт доступ в LDAP, ему не прийдется проходить повторную авторизацию. Это актуально и в обратную сторону – если он авторизовался в вашем облаке, то личный кабинет на сайте также будет доступен.
Реализация оказалась не такой и простой. В сети я нашел только один guide по данного API – Synology SSO API Guide, но там все делается на стороне клиента через ajax и по какой-то причине не определялось, что пользователь авторизован, а также работало ооочень медленно. Поэтому пришлось находить свое решение, но оно оказалось гораздо короче и проще.
Буду рад, если еще кому-то пригодится.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_php, #_itinfrastruktura (IT-инфраструктура), #_setevye_tehnologii (Сетевые технологии), #_api, #_oblachnye_servisy (Облачные сервисы), #_synology, #_sso_server, #_oauth, #_php, #_itinfrastruktura (
IT-инфраструктура
)
, #_setevye_tehnologii (
Сетевые технологии
)
, #_api, #_oblachnye_servisy (
Облачные сервисы
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 10:14
Часовой пояс: UTC + 5