Единый вход (через SAML2) доступен только в OpenReplay Enterprise Edition.

В панели управления вашего поставщика идентификации создайте новое приложение под названием openreplay (вы можете использовать эту иконку). На странице конфигурации обязательно задайте следующие значения (не забудьте заменить YOUR_DOMAIN на правильное значение, например https://openreplay.mycompany.com):

В разделе ‘Attribute Statements’ или ‘Parameters’ обязательно определите следующие поля:

Теперь у вас должны быть все необходимые значения для следующего шага/раздела.

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition, выполните openreplay -e, раскомментируйте, а затем обновите приведённые ниже переменные окружения в разделе chalice:

Затем сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу:

Это необязательно — вы можете добавить сертификат x509 для дополнительной безопасности SSO:

1. выполните эту команду на вашем сервере или на вашей защищённой машине (вы можете изменить срок действия вашего сертификата в соответствии со своими потребностями):

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

2. На вашем сервере выполните openreplay -e
3. В разделе chalice добавьте следующие переменные окружения:

• sp_crt: должна быть однострочной строкой без переносов строк из сгенерированного файла ‘openreplay-sso.crt’ (вы можете использовать этот инструмент для форматирования вашего значения)
• sp_key: должна быть однострочной строкой без переносов строк из сгенерированного файла ‘openreplay-sso.key’

4. Сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу
5. Добавьте сгенерированный файл ‘openreplay-sso.crt’ в конфигурацию приложения вашего поставщика идентификации

1. Войдите в панель администрирования Okta и перейдите в ‘Applications’ > ‘Applications’
2. Нажмите ‘Create new app integration’, затем выберите SAML 2.0 и нажмите ‘Next’
3. Установите ‘App Name’ на OpenReplay (вы можете загрузить эту иконку) для вашего приложения), затем нажмите ‘Next’
4. Установите:

• Single sign on URL на YOUR_DOMAIN/api/sso/saml2/acs/
• Audience URI (SP Entity ID) на YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format на EmailAddress

5. Нажмите Next, выберите ‘This is an internal app that we have created’, затем нажмите ‘Finish’
6. На вкладке Sign On прокрутите вниз и нажмите ‘Show legacy configuration’, затем нажмите ‘Edit’
7. Определите приведённые ниже поля в ‘Profile Attribute Statements’:

• tenantKey: формат Basic и установите значение на TENANT_KEY, которое находится в дашборде OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут не следует добавлять, если вы используете наш план Cloud Dedicated)
• firstName: формат Basic и установите значение на user.firstName
• lastName: формат Basic и установите значение на user.lastName
• internalId: формат Basic и установите значение на user.email

8. Определите приведённое ниже поле в ‘Group Attribute Statement’ (это необязательно):

• groups: формат Basic, фильтр Match Regex, значение OpenReplay-* (или вы можете указать другой фильтр и регулярное выражение в соответствии со своими потребностями)

9. Нажмите ‘save’, прокрутите вверх вправо и нажмите ‘View Setup Instructions’, чтобы увидеть вашу конфигурацию SAML2

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

9. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
10. В разделе chalice раскомментируйте, а затем установите следующие переменные окружения:

• idp_entityId: Identity Provider Issuer
• idp_sso_url: Identity Provider Single Sign-On URL
• idp_x509cert: сертификат X.509, должен быть однострочной строкой без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: Okta

11. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

1. Войдите в портал Azure и перейдите в ‘Azure Active Directory’
2. Нажмите ’+ Add’, выберите ‘Enterprise application’, затем нажмите ‘Create your own application’
3. Установите ‘App Name’ на OpenReplay, затем выберите ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ и нажмите ‘Create’
4. Перейдите в ‘Single sign-on’ в меню слева и установите приведённые ниже значения в блоке ‘Basic SAML Configuration’:

• Identifier (Entity ID) на YOUR_DOMAIN/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) на YOUR_DOMAIN/api/sso/saml2/acs/
• Logout URL на YOUR_DOMAIN/api/sso/saml2/sls/

5. Добавьте приведённые ниже утверждения (claims) в блок ‘Attribute & Claims’ и убедитесь, что поле ‘Namespace’ оставлено пустым для каждого из них:

• tenantKey: установите значение на TENANT_KEY, которое находится в дашборде OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут/утверждение не следует добавлять, если вы используете наш план Cloud Dedicated)
• firstName: установите значение на user.givenname
• lastName: установите значение на user.surname
• internalId: установите значение на user.mail

6. Перейдите в ‘Users and groups’ и назначьте выбранных вами пользователей приложению

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO (значения находятся в ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’).

В противном случае, если вы используете нашу Enterprise Edition:

7. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
8. В разделе chalice раскомментируйте, а затем установите следующие переменные окружения (значения находятся в ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’):

• idp_entityId: Azure AD Identifier
• idp_sso_url: Login URL
• idp_sls_url: Logout URL
• idp_x509cert: сертификат X.509, должен быть однострочной строкой без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: Active Directory

9. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

1. В консоли администратора Google перейдите в ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. Нажмите ‘Add Custom Attribute’.
3. Установите следующие поля:

• Category: ‘OpenReplay’
• Custom fields:
• Name: ‘role’
• Info type: ‘Text’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’
• Custom fields:
• Name: ‘adminPrivileges’
• Info type: ‘Yes or No’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’

4. Нажмите ‘Add’
5. Чтобы добавить значения для новых пользовательских атрибутов, перейдите в ‘Users’
6. Выберите нужного пользователя (или пользователей)
7. Нажмите ‘User information’, затем отредактируйте раздел ‘OpenReplay’
8. Измените значение role на нужную роль в ‘OpenReplay’ (роль должна совпадать с той, что создана в дашборде OpenReplay в разделе ‘Preferences’ > ‘Roles’)
9. Измените значение adminPrivileges на ‘Yes’, если пользователю разрешено иметь права администратора в OpenReplay
10. Нажмите ‘Save’

1. Войдите в консоль администратора Google и перейдите в ‘Apps’
2. Нажмите ‘Web and mobile apps’, затем нажмите ‘Add app’ > ‘Add custom SAML app’
3. Установите ‘App name’ на OpenReplay (вы можете загрузить эту иконку для ‘App icon”), затем нажмите ‘Continue’
4. Скопируйте ‘SSO URL’, ‘Entity ID’ и ‘Certificate’, затем нажмите ‘Continue’ (мы будем использовать эти значения на шаге 11)
5. Установите:

• ACS URL на YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY находится в дашборде OpenReplay в разделе ‘Preferences’ > ‘Account’, но если вы используете наш план Cloud Dedicated, оставьте значение tenantKey пустым)
• Entity ID на YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format на Email
• Name ID на Basic information > Primary Email

6. Нажмите ‘Continue’, затем нажмите ‘Add Mapping’, чтобы добавить приведённые ниже атрибуты:

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > groups -> groups

7. Нажмите ‘Finish’
8. В консоли администратора Google перейдите в ‘Apps’ > ‘Web and mobile apps’ и выберите ‘OpenReplay’
9. Нажмите ‘User access’, выберите ‘ON for everyone’, затем нажмите ‘Save’

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

10. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
11. В разделе chalice > env раскомментируйте и установите следующие атрибуты, используя значения с шага 4:

• idp_sso_url: вставьте значение ‘SSO URL’
• idp_entityId: вставьте значение ‘Entity ID’
• idp_x509cert: используйте этот инструмент для форматирования скопированного/загруженного сертификата
• idp_name: установите значение на G-Suite
• idp_tenantKey: TENANT_KEY находится в дашборде OpenReplay в разделе ‘Preferences’ > ‘Account’

12. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

1. Войдите в панель администрирования JumpCloud и в меню слева перейдите в ‘SSO’
2. Нажмите ’+ Add New Application’, затем выберите ‘Custom SAML App’
3. Установите ‘Display Label’ на OpenReplay (вы можете загрузить эту иконку для вашего приложения), затем перейдите на вкладку ‘SSO’
4. Установите:

• IdP Entity ID на openreplay/TENANT_KEY (TENANT_KEY находится в дашборде OpenReplay в разделе ‘Preferences’ > ‘Account’, но если вы используете наш план Cloud Dedicated, оставьте значение tenantKey пустым)
• SP Entity ID на YOUR_DOMAIN/api/sso/saml2/metadata/
• ACS URL на YOUR_DOMAIN/api/sso/saml2/acs/
• SAMLSubject NameID на email
• SAMLSubject NameID Format: на urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm на RSA-SHA256
• Отметьте Sign Assertion
• IDP URL так, чтобы он заканчивался на openreplay-TENANT_KEY (это значение нельзя изменить позже; если вы используете наш план Cloud Dedicated, оставьте часть tenantKey пустой)

5. Если вы следовали инструкциям из раздела Сертификат OpenReplay, вы можете загрузить сгенерированный файл ‘openreplay-sso.crt’, нажав ‘Upload SP Certificate’; в противном случае пропустите этот шаг
6. Определите приведённые ниже поля в ‘USER ATTRIBUTE MAPPING’, нажав кнопку ‘add attribute’:

• firstName: установите значение на firstname
• lastName: установите значение на lastname
• internalId: установите значение на email
• groups: необязательно, роль пользователя и права администратора в OpenReplay; если это постоянное значение для всех пользователей, его следует определить на следующем шаге; в противном случае вам нужно добавить новый строковый атрибут к группе JumpCloud, назвать его OpenReplay-groups и установить значение равным имени роли, а затем в конфигурации SSO выбрать ‘Custom User or Group Attribute’ и установить значение на OpenReplay-groups.

7. Определите приведённые ниже поля в ‘CONSTANT ATTRIBUTES’, нажав кнопку ‘add attribute’:

• tenantKey: установите значение на TENANT_KEY, которое находится в дашборде OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут не следует добавлять, если вы используете наш план Cloud Dedicated)
• groups: необязательно, пропустите, если оно было определено на предыдущем шаге; роль пользователя и права администратора в OpenReplay должны совпадать с именем роли, уже определённым в OpenReplay (значение по умолчанию = member без прав администратора)

8. На этом этапе вы можете перейти на вкладку ‘User Groups’ и выбрать группу пользователей, которая будет иметь доступ к OpenReplay, или вы можете сделать это позже
9. Нажмите ‘activate’ и ‘continue’ во всплывающем окне подтверждения
10. Нажмите на иконку нового приложения OpenReplay, затем в левом раскрывающемся меню ‘IDP Certificate Valid’ выберите ‘Download certificate’

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

11. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
12. В разделе chalice раскомментируйте, а затем установите следующие переменные окружения:

• idp_entityId: openreplay/TENANT_KEY
• idp_sso_url: https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert: загруженный сертификат, должен быть однострочной строкой без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: JumpCloud

13. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

Openreplay поддерживает возможность подготовки идентификаторов пользователей в Enterprise Edition.

Чтобы интегрироваться со службой SCIM Openreplay, просто включите подготовку SCIM в панели управления вашего поставщика идентификации. Для бесперебойной интеграции обязательно задайте следующие значения:

После установки этих значений следуйте подсказкам в панели управления вашего поставщика идентификации, чтобы протестировать интеграцию и авторизовать приложение.

После этого вы сможете подготавливать идентификаторы пользователей, используя Openreplay в качестве поставщика услуг SCIM.

Примечание: Хотя Openreplay выступает в качестве поставщика услуг SCIM, он не поддерживает разделение пользователей на несколько групп (то есть каждый пользователь может принадлежать только к одной группе). Если это не соблюдается, пользователю может быть назначено меньше или больше проектов, чем ожидалось, и он может иметь меньше или больше разрешений в приложении Openreplay.

В вашем приложении SAML 2.0 выполните следующие действия

1. Нажмите вкладку General
2. В разделе App Settings нажмите Edit
3. В поле Provisioning выберите SCIM и нажмите Save

1. Нажмите вкладку Provisioning. Настройки подключения SCIM появятся в разделе Settings > Integration.
2. В Settings > Integration нажмите Edit.
3. Укажите SCIM connector base URL и имя поля уникального идентификатора для ваших пользователей, упомянутое выше.
4. В разделе Supported provisioning actions выберите действия подготовки, упомянутые выше.
5. Установите раскрывающийся список Authentication Mode на значение, упомянутое выше.
6. Установите Access token endpoint, Authorization endpoint, Client id и Client secret, как указано выше.
7. Нажмите Save.
8. Нажмите Authenticate application.
9. На вкладке Provisioning нажмите To App.
10. Нажмите Edit, включите Create Users, Update User Attributes, Deactivate Users и сохраните изменения (убедитесь, что эти параметры выбраны после нажатия кнопки сохранения; в противном случае обновите страницу и повторите этот шаг заново).

• Перед началом следующего шага мы рекомендуем создать в Okta новые группы под названием OpenReplay-admin, в которой вы перечислите пользователей с правами администратора в OpenReplay, и OpenReplay-members, в которой вы перечислите пользователей с ролью member в OpenReplay, …

11. Перейдите на вкладку Push Groups, нажмите + Push Groups (по имени или по правилу), выберите группу, которую вы хотите отправить в OpenReplay, и нажмите save

• На этом этапе отправленные группы представляют роли и права администратора в OpenReplay и не содержат списка пользователей, подготовленных для OpenReplay.

12. Перейдите на вкладку Assignmets и добавьте пользователей удобным для вас способом (используя людей или группы)

Это очень распространённая проблема, вызванная отсутствием заголовка ‘X-Forwarded-Proto’ в запросе. Чтобы решить её, убедитесь, что балансировщик нагрузки правильно пересылает заголовок на бэкенд OpenReplay, и выполните openreplay -e; в разделе ingress-nginx > config раскомментируйте строку use-forwarded-headers: true.