Единый вход (через SAML2) доступен только в OpenReplay Enterprise Edition.

В панели управления вашего поставщика идентификации создайте новое приложение под названием openreplay (вы можете использовать эту иконку). На странице конфигурации обязательно задайте следующие значения (не забудьте заменить YOUR_DOMAIN правильным значением, например https://openreplay.mycompany.com):

В разделе ‘Attribute Statements’ или ‘Parameters’ обязательно определите следующие поля:

Теперь у вас должны быть все необходимые значения для следующего шага/раздела.

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition, выполните openreplay -e, раскомментируйте и затем обновите указанные ниже переменные окружения в разделе chalice:

Затем сохраните и выйдите, используя :wq, чтобы изменения вступили в силу:

Это необязательно; вы можете добавить сертификат x509 для дополнительной безопасности SSO:

1. выполните эту команду на вашем сервере или защищённой машине (вы можете изменить срок действия вашего сертификата в соответствии с вашими потребностями):

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

2. На вашем сервере выполните openreplay -e
3. В разделе chalice добавьте следующие переменные окружения:

• sp_crt: должна быть строкой в одну строку, без переносов строк, из сгенерированного файла ‘openreplay-sso.crt’ (вы можете использовать этот инструмент для форматирования вашего значения)
• sp_key: должна быть строкой в одну строку, без переносов строк, из сгенерированного файла ‘openreplay-sso.key’

4. Сохраните и выйдите, используя :wq, чтобы изменения вступили в силу
5. Добавьте сгенерированный файл ‘openreplay-sso.crt’ в конфигурацию приложения вашего поставщика идентификации

1. Войдите в панель администрирования Okta и перейдите в ‘Applications’ > ‘Applications’
2. Нажмите ‘Create new app integration’, затем выберите SAML 2.0 и нажмите ‘Next’
3. Установите ‘App Name’ на OpenReplay (вы можете загрузить эту иконку) для вашего приложения), затем нажмите ‘Next’
4. Установите:

• Single sign on URL на YOUR_DOMAIN/api/sso/saml2/acs/
• Audience URI (SP Entity ID) на YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format на EmailAddress

5. Нажмите Next, выберите ‘This is an internal app that we have created’, затем нажмите ‘Finish’
6. На вкладке Sign On прокрутите вниз и нажмите ‘Show legacy configuration’, затем нажмите ‘Edit’
7. Определите указанные ниже поля в ‘Profile Attribute Statements’:

• tenantKey: формат Basic, и установите значение на TENANT_KEY, которое находится в панели OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут не нужно добавлять, если вы используете наш план Cloud Dedicated)
• firstName: формат Basic, и установите значение на user.firstName
• lastName: формат Basic, и установите значение на user.lastName
• internalId: формат Basic, и установите значение на user.email

8. Определите указанное ниже поле в ‘Group Attribute Statement’ (это необязательно):

• groups: формат Basic, фильтр Match Regex, значение OpenReplay-* (или вы можете указать другой фильтр и регулярное выражение в соответствии с вашими потребностями)

9. Нажмите ‘save’, прокрутите вверх вправо и нажмите ‘View Setup Instructions’, чтобы увидеть вашу конфигурацию SAML2

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

9. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
10. В разделе chalice раскомментируйте и затем установите следующие переменные окружения:

• idp_entityId: Identity Provider Issuer
• idp_sso_url: Identity Provider Single Sign-On URL
• idp_x509cert: X.509 Certificate, должна быть строкой в одну строку, без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: Okta

11. Наконец, сохраните и выйдите, используя :wq, чтобы изменения вступили в силу

1. Войдите в портал Azure и перейдите в ‘Azure Active Directory’
2. Нажмите ’+ Add’, выберите ‘Enterprise application’, затем нажмите ‘Create your own application’
3. Установите ‘App Name’ на OpenReplay, затем выберите ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ и нажмите ‘Create’
4. Перейдите в ‘Single sign-on’ в меню слева и установите указанные ниже значения в блоке ‘Basic SAML Configuration’:

• Identifier (Entity ID) на YOUR_DOMAIN/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) на YOUR_DOMAIN/api/sso/saml2/acs/
• Logout URL на YOUR_DOMAIN/api/sso/saml2/sls/

5. Добавьте указанные ниже claims в блок ‘Attribute & Claims’ и убедитесь, что поле ‘Namespace’ оставлено пустым для каждого из них:

• tenantKey: установите значение на TENANT_KEY, которое находится в панели OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут/claim не нужно добавлять, если вы используете наш план Cloud Dedicated)
• firstName: установите значение на user.givenname
• lastName: установите значение на user.surname
• internalId: установите значение на user.mail

6. Перейдите в ‘Users and groups’ и назначьте выбранных пользователей приложению

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO (значения находятся в ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’).

В противном случае, если вы используете нашу Enterprise Edition:

7. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
8. В разделе chalice раскомментируйте и затем установите следующие переменные окружения (значения находятся в ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’):

• idp_entityId: Azure AD Identifier
• idp_sso_url: Login URL
• idp_sls_url: Logout URL
• idp_x509cert: X.509 Certificate, должна быть строкой в одну строку, без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: Active Directory

9. Наконец, сохраните и выйдите, используя :wq, чтобы изменения вступили в силу

1. В консоли администрирования Google перейдите в ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. Нажмите ‘Add Custom Attribute’.
3. Установите следующие поля:

• Category: ‘OpenReplay’
• Custom fields:
• Name: ‘role’
• Info type: ‘Text’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’
• Custom fields:
• Name: ‘adminPrivileges’
• Info type: ‘Yes or No’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’

4. Нажмите ‘Add’
5. Чтобы добавить значения к новым пользовательским атрибутам, перейдите в ‘Users’
6. Выберите нужного пользователя (пользователей)
7. Нажмите ‘User information’, затем отредактируйте раздел ‘OpenReplay’
8. Измените значение role на нужную роль в ‘OpenReplay’ (роль должна совпадать с той, что создана в панели OpenReplay в разделе ‘Preferences’ > ‘Roles’)
9. Измените значение adminPrivileges на ‘Yes’, если пользователю разрешено иметь права администратора в OpenReplay
10. Нажмите ‘Save’

1. Войдите в консоль администрирования Google и перейдите в ‘Apps’
2. Нажмите ‘Web and mobile apps’, затем нажмите ‘Add app’ > ‘Add custom SAML app’
3. Установите ‘App name’ на OpenReplay (вы можете загрузить эту иконку для ‘App icon”) затем нажмите ‘Continue’
4. Скопируйте ‘SSO URL’, ‘Entity ID’ и ‘Certificate’, затем нажмите ‘Continue’ (мы будем использовать эти значения на шаге 11)
5. Установите:

• ACS URL на YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY находится в панели OpenReplay в разделе ‘Preferences’ > ‘Account’, но если вы используете наш план Cloud Dedicated, оставьте значение tenantKey пустым)
• Entity ID на YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format на Email
• Name ID на Basic information > Primary Email

6. Нажмите ‘Continue’, затем нажмите ‘Add Mapping’, чтобы добавить указанные ниже атрибуты:

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > groups -> groups

7. Нажмите ‘Finish’
8. В консоли администрирования Google перейдите в ‘Apps’ > ‘Web and mobile apps’ и выберите ‘OpenReplay’
9. Нажмите ‘User access’, выберите ‘ON for everyone’, затем нажмите ‘Save’

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

10. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
11. В разделе chalice > env раскомментируйте и установите следующие атрибуты, используя значения из шага 4:

• idp_sso_url: вставьте значение ‘SSO URL’
• idp_entityId: вставьте значение ‘Entity ID’
• idp_x509cert: используйте этот инструмент для форматирования скопированного/загруженного сертификата
• idp_name: установите значение на G-Suite
• idp_tenantKey: TENANT_KEY находится в панели OpenReplay в разделе ‘Preferences’ > ‘Account’

12. Наконец, сохраните и выйдите, используя :wq, чтобы изменения вступили в силу

1. Войдите в панель администрирования JumpCloud и в меню слева перейдите в ‘SSO’
2. Нажмите ’+ Add New Application’, затем выберите ‘Custom SAML App’
3. Установите ‘Display Label’ на OpenReplay (вы можете загрузить эту иконку для вашего приложения), затем перейдите на вкладку ‘SSO’
4. Установите:

• IdP Entity ID на openreplay/TENANT_KEY (TENANT_KEY находится в панели OpenReplay в разделе ‘Preferences’ > ‘Account’, но если вы используете наш план Cloud Dedicated, оставьте значение tenantKey пустым)
• SP Entity ID на YOUR_DOMAIN/api/sso/saml2/metadata/
• ACS URL на YOUR_DOMAIN/api/sso/saml2/acs/
• SAMLSubject NameID на email
• SAMLSubject NameID Format: на urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm на RSA-SHA256
• Отметьте Sign Assertion
• IDP URL должен заканчиваться на openreplay-TENANT_KEY (это значение нельзя изменить позже; если вы используете наш план Cloud Dedicated, оставьте часть tenantKey пустой)

5. Если вы следовали инструкциям из раздела Сертификат OpenReplay, вы можете загрузить сгенерированный файл ‘openreplay-sso.crt’, нажав ‘Upload SP Certificate’; в противном случае пропустите этот шаг
6. Определите указанные ниже поля в ‘USER ATTRIBUTE MAPPING’, нажав кнопку ‘add attribute’:

• firstName: установите значение на firstname
• lastName: установите значение на lastname
• internalId: установите значение на email
• groups: необязательно, роль пользователя и права администратора в OpenReplay; если это постоянное значение для всех пользователей, вам следует определить его на следующем шаге, в противном случае вам необходимо добавить новый строковый атрибут в группу JumpCloud, назвать его OpenReplay-groups и установить значение на имя роли, а затем в конфигурации SSO выбрать ‘Custom User or Group Attribute’ и установить значение на OpenReplay-groups.

7. Определите указанные ниже поля в ‘CONSTANT ATTRIBUTES’, нажав кнопку ‘add attribute’:

• tenantKey: установите значение на TENANT_KEY, которое находится в панели OpenReplay в разделе ‘Preferences’ > ‘Account’ (этот атрибут не нужно добавлять, если вы используете наш план Cloud Dedicated)
• groups: необязательно, проигнорируйте, если определено на предыдущем шаге; роль пользователя и права администратора в OpenReplay, должны совпадать с именем роли, уже определённым в OpenReplay (по умолчанию = member без прав администратора)

8. На этом этапе вы можете перейти на вкладку ‘User Groups’ и выбрать группу пользователей, которые получат доступ к OpenReplay, или вы можете сделать это позже
9. Нажмите ‘activate’ и ‘continue’ во всплывающем окне подтверждения
10. Нажмите на иконку нового приложения OpenReplay, затем в выпадающем списке слева ‘IDP Certificate Valid’ выберите ‘Download certificate’

Если вы используете наш план Cloud dedicated, перейдите в Консоль, затем нажмите на инстанс и задайте переменные в разделе SSO.

В противном случае, если вы используете нашу Enterprise Edition:

11. Подключитесь по SSH к вашей установке OpenReplay и выполните openreplay -e
12. В разделе chalice раскомментируйте и затем установите следующие переменные окружения:

• idp_entityId: openreplay/TENANT_KEY
• idp_sso_url: https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert: загруженный сертификат, должен быть строкой в одну строку, без переносов строк (вы можете использовать этот инструмент для форматирования вашего значения)
• idp_name: JumpCloud

13. Наконец, сохраните и выйдите, используя :wq, чтобы изменения вступили в силу

Openreplay поддерживает возможность подготовки (provisioning) идентификаторов пользователей в Enterprise Edition.

Чтобы интегрироваться со службой SCIM Openreplay, просто включите подготовку SCIM в панели управления вашего поставщика идентификации. Обязательно задайте следующие значения для бесперебойной интеграции:

После установки этих значений следуйте подсказкам в панели управления вашего поставщика идентификации, чтобы протестировать интеграцию и авторизовать приложение.

После этого вы сможете подготавливать идентификаторы пользователей, используя Openreplay в качестве поставщика услуг SCIM.

Примечание. Хотя Openreplay действует как поставщик услуг SCIM, он не поддерживает разделение пользователей на несколько групп (то есть каждый пользователь может принадлежать только к одной группе). Если это не соблюдается, пользователю может быть назначено меньше или больше проектов, чем ожидалось, и у него может быть меньше или больше разрешений в приложении Openreplay.

В вашем приложении SAML 2.0 выполните следующее

1. Нажмите вкладку General
2. В разделе App Settings нажмите Edit
3. В поле Provisioning выберите SCIM и нажмите Save

1. Нажмите вкладку Provisioning. Настройки подключения SCIM появятся в разделе Settings > Integration.
2. В Settings > Integration нажмите Edit.
3. Укажите SCIM connector base URL и имя поля уникального идентификатора для ваших пользователей, упомянутого выше.
4. В разделе Supported provisioning actions выберите действия подготовки, упомянутые выше.
5. Установите выпадающий список Authentication Mode на значение, упомянутое выше.
6. Установите Access token endpoint, Authorization endpoint, Client id и Client secret, как указано выше.
7. Нажмите Save.
8. Нажмите Authenticate application.
9. На вкладке Provisioning нажмите To App.
10. Нажмите Edit, включите Create Users, Update User Attributes, Deactivate Users и сохраните изменения (убедитесь, что эти параметры выбраны после нажатия кнопки сохранения, в противном случае обновите страницу и повторите этот шаг заново).

• Перед началом следующего шага мы рекомендуем создать новые группы в Okta под названием OpenReplay-admin, в которой вы перечислите пользователей с правами администратора в OpenReplay, и OpenReplay-members, в которой вы перечислите пользователей с ролью member в OpenReplay, …

11. Перейдите на вкладку Push Groups, нажмите + Push Groups (по имени или по правилу), выберите группу, которую хотите отправить в OpenReplay, и нажмите save

• На этом этапе отправленные группы представляют роли и права администратора в OpenReplay и не содержат списка пользователей, подготовленных для OpenReplay.

12. Перейдите на вкладку Assignmets и добавьте пользователей удобным для вас способом (используя людей или группы)

Это очень распространённая ситуация, вызванная отсутствием заголовка ‘X-Forwarded-Proto’ в запросе. Чтобы решить эту проблему, убедитесь, что Load Balancer правильно пересылает заголовок в бэкенд OpenReplay, и выполните openreplay -e; в разделе ingress-nginx > config раскомментируйте строку use-forwarded-headers: true.