Единый вход (через SAML2) доступен только в OpenReplay Enterprise Edition.

В панели управления вашего поставщика удостоверений создайте новое приложение с именем openreplay (вы можете использовать эту иконку). На странице конфигурации обязательно задайте следующее значение (обязательно замените YOUR_DOMAIN на правильное значение, например https://openreplay.mycompany.com):

В разделе ‘Attribute Statements’ или ‘Parameters’ обязательно определите следующие поля:

Теперь у вас должны быть все необходимые значения для следующего шага/раздела.

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на экземпляр и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition, выполните openreplay -e, раскомментируйте, а затем обновите приведённые ниже переменные окружения в разделе chalice:

Затем сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу:

Это необязательно; вы можете добавить сертификат x509 для дополнительной безопасности SSO:

1. выполните эту команду на вашем сервере или защищённой машине (вы можете изменить срок действия вашего сертификата в соответствии со своими потребностями):

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

2. На вашем сервере выполните openreplay -e
3. В разделе chalice добавьте следующие переменные окружения:

• sp_crt: должна быть строкой в одну строку, без переносов строк, из сгенерированного файла ‘openreplay-sso.crt’ (вы можете использовать этот инструмент для форматирования вашего значения)
• sp_key: должна быть строкой в одну строку, без переносов строк, из сгенерированного файла ‘openreplay-sso.key’

4. Сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу
5. Добавьте сгенерированный файл ‘openreplay-sso.crt’ в конфигурацию приложения вашего поставщика удостоверений

1. Войдите в панель администрирования Okta и перейдите в ‘Applications’ > ‘Applications’
2. Нажмите ‘Create new app integration’, затем выберите SAML 2.0 и нажмите ‘Next’
3. Установите ‘App Name’ в OpenReplay (вы можете загрузить эту иконку) для вашего приложения), затем нажмите ‘Next’
4. Установите:

• Single sign on URL в YOUR_DOMAIN/api/sso/saml2/acs/
• Audience URI (SP Entity ID) в YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format в EmailAddress

5. Определите приведённые ниже поля в ‘Attribute Statements’:

• tenantKey: формат Basic и установите значение в TENANT_KEY, которое находится в панели управления OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут не следует добавлять, если вы используете наш план Cloud Dedicated)
• firstName: формат Basic и установите значение в user.firstName
• lastName: формат Basic и установите значение в user.lastName
• internalId: формат Basic и установите значение в user.email

6. Определите приведённое ниже поле в ‘Group Attribute Statement’:

• groups: формат Basic, фильтр Match Regex, значение OpenReplay-* (или вы можете указать другой фильтр и регулярное выражение в соответствии со своими потребностями)

7. Нажмите Next, выберите ‘I’m an Okta customer adding an internal app’ и ‘This is an internal app that we have created’, затем нажмите ‘Finish’
8. На вкладке Sign On прокрутите вниз и нажмите ‘View Setup Instructions’, чтобы увидеть вашу конфигурацию SAML2

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на экземпляр и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

9. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
10. В разделе chalice раскомментируйте, а затем установите следующие переменные окружения:

• idp_entityId: Identity Provider Issuer
• idp_sso_url: Identity Provider Single Sign-On URL
• idp_x509cert: Сертификат X.509, должен быть строкой в одну строку, без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: Okta

11. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

1. Войдите в портал Azure и перейдите в ‘Azure Active Directory’
2. Нажмите ’+ Add’, выберите ‘Enterprise application’, затем нажмите ‘Create your own application’
3. Установите ‘App Name’ в OpenReplay, затем выберите ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ и нажмите ‘Create’
4. Перейдите в ‘Single sign-on’ в левом меню и установите приведённые ниже значения в блоке ‘Basic SAML Configuration’:

• Identifier (Entity ID) в YOUR_DOMAIN/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) в YOUR_DOMAIN/api/sso/saml2/acs/
• Logout URL в YOUR_DOMAIN/api/sso/saml2/sls/

5. Добавьте приведённые ниже claims в блок ‘Attribute & Claims’ и убедитесь, что поле ‘Namespace’ оставлено пустым для каждого из них:

• tenantKey: установите значение в TENANT_KEY, которое находится в панели управления OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут/claim не следует добавлять, если вы используете наш план Cloud Dedicated)
• firstName: установите значение в user.givenname
• lastName: установите значение в user.surname
• internalId: установите значение в user.mail

6. Перейдите в ‘Users and groups’ и назначьте выбранных вами пользователей приложению

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на экземпляр и задайте переменные в разделе SSO (значения находятся в ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’).

В противном случае, если вы используете нашу Enterprise Edition:

7. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
8. В разделе chalice раскомментируйте, а затем установите следующие переменные окружения (значения находятся в ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’):

• idp_entityId: Azure AD Identifier
• idp_sso_url: Login URL
• idp_sls_url: Logout URL
• idp_x509cert: Сертификат X.509, должен быть строкой в одну строку, без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: Active Directory

9. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

1. В консоли администратора Google перейдите в ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. Нажмите ‘Add Custom Attribute’.
3. Установите следующие поля:

• Category: ‘OpenReplay’
• Custom fields:
• Name: ‘role’
• Info type: ‘Text’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’
• Custom fields:
• Name: ‘adminPrivileges’
• Info type: ‘Yes or No’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’

4. Нажмите ‘Add’
5. Чтобы добавить значения новым пользовательским атрибутам, перейдите в ‘Users’
6. Выберите нужного пользователя (пользователей)
7. Нажмите ‘User information’, затем отредактируйте раздел ‘OpenReplay’
8. Измените значение role на нужную роль в ‘OpenReplay’ (роль должна совпадать с созданной в панели управления OpenReplay в разделе ‘Preferences’ > ‘Roles’)
9. Измените значение adminPrivileges на ‘Yes’, если пользователю разрешено иметь права администратора в OpenReplay
10. Нажмите ‘Save’

1. Войдите в консоль администратора Google и перейдите в ‘Apps’
2. Нажмите ‘Web and mobile apps’, затем нажмите ‘Add app’ > ‘Add custom SAML app’
3. Установите ‘App name’ в OpenReplay (вы можете загрузить эту иконку для ‘App icon”), затем нажмите ‘Continue’
4. Скопируйте ‘SSO URL’, ‘Entity ID’ и ‘Certificate’, затем нажмите ‘Continue’ (мы используем эти значения на шаге 11)
5. Установите:

• ACS URL в YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY находится в панели управления OpenReplay в разделе ‘Preferences’ > ‘Account’, но если вы используете наш план Cloud Dedicated, оставьте значение tenantKey пустым)
• Entity ID в YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format в Email
• Name ID в Basic information > Primary Email

6. Нажмите ‘Continue’, затем нажмите ‘Add Mapping’, чтобы добавить приведённые ниже атрибуты:

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > groups -> groups

7. Нажмите ‘Finish’
8. В консоли администратора Google перейдите в ‘Apps’ > ‘Web and mobile apps’ и выберите ‘OpenReplay’
9. Нажмите ‘User access’, выберите ‘ON for everyone’, затем нажмите ‘Save’

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на экземпляр и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

10. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
11. В разделе chalice > env раскомментируйте и установите следующие атрибуты, используя значения из шага 4:

• idp_sso_url: вставьте значение ‘SSO URL’
• idp_entityId: вставьте значение ‘Entity ID’
• idp_x509cert: используйте этот инструмент для форматирования скопированного/загруженного сертификата
• idp_name: установите значение в G-Suite
• idp_tenantKey: TENANT_KEY находится в панели управления OpenReplay в разделе ‘Preferences’ > ‘Account’

12. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

1. Войдите в панель администрирования JumpCloud и в левом меню перейдите в ‘SSO’
2. Нажмите ’+ Add New Application’, затем выберите ‘Custom SAML App’
3. Установите ‘Display Label’ в OpenReplay (вы можете загрузить эту иконку для вашего приложения), затем перейдите на вкладку ‘SSO’
4. Установите:

• IdP Entity ID в openreplay/TENANT_KEY (TENANT_KEY находится в панели управления OpenReplay в разделе ‘Preferences’ > ‘Account’, но если вы используете наш план Cloud Dedicated, оставьте значение tenantKey пустым)
• SP Entity ID в YOUR_DOMAIN/api/sso/saml2/metadata/
• ACS URL в YOUR_DOMAIN/api/sso/saml2/acs/
• SAMLSubject NameID в email
• SAMLSubject NameID Format: в urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm в RSA-SHA256
• Отметьте Sign Assertion
• IDP URL должен заканчиваться на openreplay-TENANT_KEY (это значение нельзя изменить позже; если вы используете наш план Cloud Dedicated, оставьте часть tenantKey пустой)

5. Если вы следовали инструкциям OpenReplay-Certificate, вы можете загрузить сгенерированный файл ‘openreplay-sso.crt’, нажав ‘Upload SP Certificate’; в противном случае пропустите этот шаг
6. Определите приведённые ниже поля в ‘USER ATTRIBUTE MAPPING’, нажав кнопку ‘add attribute’:

• firstName: установите значение в firstname
• lastName: установите значение в lastname
• internalId: установите значение в email
• groups: необязательно, роль и права администратора пользователя в OpenReplay; если это постоянное значение для всех пользователей, вам следует определить его на следующем шаге, в противном случае вам нужно добавить новый строковый атрибут к группе JumpCloud, назвать его OpenReplay-groups и установить значение в имя роли, а затем в конфигурации SSO выбрать ‘Custom User or Group Attribute’ и установить значение в OpenReplay-groups.

7. Определите приведённые ниже поля в ‘CONSTANT ATTRIBUTES’, нажав кнопку ‘add attribute’:

• tenantKey: установите значение в TENANT_KEY, которое находится в панели управления OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут не следует добавлять, если вы используете наш план Cloud Dedicated)
• groups: необязательно, пропустите, если определено на предыдущем шаге, роль и права администратора пользователя в OpenReplay, должно совпадать с именем роли, уже определённой в OpenReplay (по умолчанию = member без прав администратора)

8. На этом этапе вы можете перейти на вкладку ‘User Groups’ и выбрать группу пользователей, которые будут иметь доступ к OpenReplay, или можете сделать это позже
9. Нажмите ‘activate’ и ‘continue’ во всплывающем окне подтверждения
10. Нажмите на иконку нового приложения OpenReplay, затем в левом раскрывающемся списке ‘IDP Certificate Valid’ выберите ‘Download certificate’

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на экземпляр и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

11. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
12. В разделе chalice раскомментируйте, а затем установите следующие переменные окружения:

• idp_entityId: openreplay/TENANT_KEY
• idp_sso_url: https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert: загруженный сертификат, должен быть строкой в одну строку, без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: JumpCloud

13. Наконец, сохраните и выйдите с помощью :wq, чтобы изменения вступили в силу

Openreplay поддерживает возможность подготовки удостоверений пользователей в Enterprise Edition.

Чтобы интегрироваться со службой SCIM Openreplay, просто включите подготовку SCIM в панели управления вашего поставщика удостоверений. Обязательно установите следующие значения для беспроблемной интеграции:

После установки этих значений следуйте подсказкам в панели управления вашего поставщика удостоверений, чтобы протестировать интеграцию и авторизовать приложение.

После этого вы сможете подготавливать удостоверения пользователей, используя Openreplay в качестве поставщика услуг SCIM.

Примечание: Хотя Openreplay действует как поставщик услуг SCIM, он не поддерживает разделение пользователей на несколько групп (т. е. каждый пользователь может принадлежать только к одной группе). Если это не соблюдается, пользователю может быть назначено меньше или больше проектов, чем ожидалось, и у него может быть меньше или больше разрешений в приложении Openreplay.

В вашем приложении SAML 2.0 выполните следующее

1. Перейдите на вкладку General
2. В разделе App Settings нажмите Edit
3. В поле Provisioning выберите SCIM и нажмите Save

1. Перейдите на вкладку Provisioning. Настройки соединения SCIM появляются в разделе Settings > Integration.
2. В Settings > Integration нажмите Edit.
3. Укажите SCIM connector base URL и имя поля уникального идентификатора для ваших пользователей, упомянутого выше.
4. В Supported provisioning actions выберите действия подготовки, упомянутые выше.
5. Установите раскрывающийся список Authentication Mode в значение, упомянутое выше.
6. Установите Access token endpoint, Authorization endpoint, Client id и Client secret так, как упомянуто выше.
7. Нажмите Save.
8. Нажмите Authentiate application.
9. На вкладке Provisioning нажмите To App.
10. Нажмите Edit, включите Create Users, Update User Attributes, Deactivate Users и сохраните изменения.

• Перед началом следующего шага мы рекомендуем создать новые группы в Okta, называемые OpenReplay-admin, где вы перечисляете пользователей с правами администратора в OpenReplay, и OpenReplay-members, где вы перечисляете пользователей с ролью member в OpenReplay, …

11. Перейдите на вкладку Push Groups, нажмите + Push Groups (по имени или по правилу), выберите группу, которую хотите отправить в OpenReplay, и нажмите save

• На этом этапе отправленные группы представляют роли и права администратора в OpenReplay и не содержат список пользователей, подготовленных для OpenReplay.

12. Перейдите на вкладку Assignmets и добавьте пользователей удобным для вас способом (используя людей или группы)

Это очень распространённая ситуация, вызванная отсутствием заголовка ‘X-Forwarded-Proto’ в запросе. Чтобы решить эту проблему, убедитесь, что балансировщик нагрузки правильно пересылает заголовок в бэкенд OpenReplay, и выполните openreplay -e; в разделе ingress-nginx > config раскомментируйте строку use-forwarded-headers: true.