Аутентификация через СУДИР#

Пользователю в СУДИР назначена административная роль PROJECT_CREATOR или MAINTENANCE_INSPECTOR или одна из ролей оператора: APPADMIN, APPDUTY или INSPECTOR.

Пререквизиты#

  • модули приложения развернуты;

  • СУДИР интегрирован с Console;

  • сетевые доступы открыты;

  • часть модулей в параметрах инсталляции содержат определенные администратором метки (параметр воркера и модуля приложения, который задается на k8s и указывается в воркере и в модуле приложения).

Процесс#

  1. Пользователь заходит в UI консоли и вводит логин/пароль.

  2. UI перенаправляет запрос в IAM Proxy, который работает как шлюз API (OIDC).

    1. IAM Proxy передает учетные данные в СУДИР по HTTPS/mTLS:

    2. СУДИР проверяет аутентификацию;

    3. при успехе возвращает JWT (access + refresh), userId.

  3. IAM Proxy возвращает JWT в UI, который подшивает его в Authorization и передает дальше в Console.

  4. Console валидирует токен (через IAM Proxy).

  5. Console по userId в JWT возвращает роли и привилегии из репозитарной БД, которые периодически по SCIM-протоколу передает СУДИР.

  6. Если разрешено, консоль выполняет операцию (start/stop/config) и возвращает в UI статус/данные или ошибку с пояснением.

  7. Пользователь получает результат своей операции через UI.

Альтернативные сценарии#

Если пользователь не прошел аутентификацию с использованием компонента IAM Proxy по логину/паролю, UI отображает ошибку о некорректной паре логин/пароль. Пользователь не будет перенаправлен на URL-адрес GraDeLy.