Настройка единого входа (SSO) через поставщика идентификационных данных (IdP)

Первый этап — настройка стороны IdP. 

Процедуры настройки основных поставщиков идентификационных данных

Ознакомьтесь с подробными процедурами настройки аутентификации SSO для любого из следующих поставщиков идентификационных данных:

• JumpCloud
• Okta
• OneLogin
• Ping Identity

Обзор конфигурации для других платформ IdP

Обзор процесса настройки на других платформах IdP:

• Приложение AppsFlyer создается на платформе IdP на основе протокола SAML 2.0, а сертификат аутентификации AppsFlyer внедряется в платформу IdP
• Пользователи назначаются новому приложению AppsFlyer
• Сертификат или метаданные IdP извлекаются для использования в AppsFlyer (в шаге 2)

Настройка URL-адреса обратного вызова  

По умолчанию для аутентификации пользователей, входящих в AppsFlyer, используется метод аутентификации поставщика идентификационных данных. Это означает, что пользователи перенаправляются в AppsFlyer из плагина аутентификации IdP или с веб-страницы.

Используйте следующую ссылку для аутентификации пользователей из поставщика идентификационных данных: https://hq1.appsflyer.com/auth/sso-callback/

Пример идентификатора аккаунта AppsFlyer: acc-xxxxxx. Чтобы узнать идентификатор своего аккаунта, обратитесь к своему менеджеру по работе с клиентами.

После настройки платформы IdP вернитесь в AppsFlyer, чтобы завершить настройку. 

1. На верхней панели откройте меню учетной записи (выпадающее меню адреса электронной почты) > Центр безопасности.
2. Под в разделе Повышенная безопасность входа в системувыберите Настройка способа входа в систему.
3. В разделе Единый вход (SSO), рядом с опцией Загрузка сертификата единого входа поставщика идентификационных данных нажмите Добавить. 
   
4. Добавьте метаданные единого входа поставщика идентификационных данных одним из следующих способов:
   • URL-адрес Вставьте URL-адрес, скопированный с платформы IdP в шаге 1
     
   • Загрузить файл: Загрузите файл, который вы скачали с платформы IdP в шаге 1
     

     

5. Нажмите Импорт, а потом Сохранить.
6. [Необязательно] Принудительный вход через SSO: Установка этого флажка гарантирует, что пользователи войдут в систему посредством технологии единого входа, а не с помощью имени пользователя и пароля.
   Примечание.
   • Мы рекомендуем выбирать опцию Принудительный вход через SSO для обеспечения более безопасного входа в систему. Это означает, что пользователи, пытающиеся войти в систему, аутентифицируются поставщиком идентификационных данных и не могут войти в систему только при помощи своего имени пользователя и пароля.
   • Опция Принудительный вход через SSO становится недоступной после включения переключателя Единый вход и сохранения настроек. Это означает, что независимо от того, выбрана ли опция Принудительный вход через SSO или не выбрана, это нельзя изменить. Посмотрите, как это отменить
7. Включите переключатель Единый входи нажмите Сохранить.

После завершения настройки SSO на обеих платформах — IdP и AppsFlyer — убедитесь, что пользователи могут входить в AppsFlyer при помощи одного из методов обратного вызова URL-адреса: вашего поставщика идентификационных данных или поставщика услуг (AppsFlyer), но не обоих.

Тестирование аутентификации через вашего поставщика идентификационных данных

Если вы настроили аутентификацию для входа через поставщика идентификационных данных, убедитесь, что пользователи могут входить в AppsFlyer из плагина или с веб-страницы поставщика идентификационных данных:

1. Если вы вошли в AppsFlyer и систему IdP, выйдите из них.
2. Откройте веб-страницу в режиме инкогнито.
3. Перейдите на веб-страницу IdP. Поскольку вы не вошли в сервис поставщика идентификационных данных, вам потребуется пройти процесс аутентификации. Войдите в систему под именем соответствующего пользователя.
4. Найдите и выберите AppsFlyer. Вы будете перенаправлены на главную страницу AppsFlyer. Это указывает на то, что процесс прошел успешно.

Тестирование аутентификации через поставщика услуг (AppsFlyer)

Если вы настроили процесс аутентификации для входа через поставщика услуг (AppsFlyer), убедитесь, что пользователи могут входить в AppsFlyer с помощью своей электронной почты:

1. Если вы вошли в AppsFlyer и систему IdP, выйдите из них.
2. Откройте веб-страницу в режиме инкогнито.
3. Перейдите на страницу входа в AppsFlyer и нажмите Вход через SSO.
4. Введите соответствующий адрес электронной почты и нажмите Продолжить. Теперь вы будете перенаправлены к поставщику идентификационных данных для аутентификации.
5. После аутентификации с помощью IdP вы будете перенаправлены обратно в AppsFlyer в качестве вошедшего в систему пользователя. Это указывает на то, что процесс прошел успешно.

SSO — это метод аутентификации, который позволяет пользователям получать доступ к нескольким независимым приложениям, системам или платформам, войдя в систему один раз через сервис поставщика идентификационных данных (например, Okta, Azure AD или OneLogin). Добавление AppsFlyer в ваш сервис IdP позволяет пользователям входить в AppsFlyer непосредственно через вашего поставщика идентификационных данных с помощью технологии единого входа (SSO). Благодаря этому пользователи могут автоматически входить в систему в рамках процедуры более безопасной идентификации с использованием только одного набора учетных данных.

Платформа AppsFlyer поддерживает верификацию посредством SSO с использованием протокола SAML2.0. Внедрив сертификат аутентификации AppsFlyer в ваш сервис поставщика идентификационных данных SAML 2.0, ваш поставщик идентификационных данных генерирует токен с аутентифицированными данными пользователя. Тот же процесс выполняется со стороны вашего IdP в отношении AppsFlyer — его токен внедряется в AppsFlyer.

AppsFlyer предоставляет сертификат шифрования для шифрования данных и подписи запроса SSO. Вы можете выбрать, какой сертификат использовать:

• Сертификат, подписанный AppsFlyer: Сертификат AppsFlyer (документ .crt). Вы можете получить этот сертификат из URL-адреса метаданных AppsFlyer (см. ниже).
• Сертификат, подписанный ЦС: Сертификат AppsFlyer, подписанный Amazon. Чтобы получить этот сертификат, обратитесь к своему менеджеру по работе с клиентами.

Создание файла сертификата AppsFlyer

Чтобы создать файл сертификата, необходимо создать файл, содержащий ключ шифрования. Делается это в два этапа:

1. Получите необходимые данные.
2. Создайте текстовый файл и введите данные.

1. Получение данных

Вы можете получить данные для файла сертификата либо из Центра безопасности, либо через URL-адрес метаданных:

Из Центра безопасности AppsFlyer:

1. На верхней панели откройте меню аккаунта (выпадающее меню адреса электронной почты администратора)> Центр безопасности.
2. В разделе Повышенная безопасность входа в системувыберите Настройка способа входа в систему.
3. В разделе  Единый вход (SSO) , рядом с опцией Копировать последний сертификат нажмите Вид.
4. Скопируйте ключ шифрования.

Из URL-адреса метаданных:

1. Откройте URL-адрес метаданных AppsFlyer и найдите use="encryption".
2. Скопируйте данные из элемента X509Certificate элемента  use="encryption" (см. данные элемента, выделенные на изображении ниже).

2. Создание текстового файла сертификата:

Получив необходимые данные, создайте текстовый файл, содержащий данные, как описано ниже:

1. Вставьте скопированные данные в новый текстовый файл.
2. Вставьте «-----BEGIN CERTIFICATE-----» в начало файла.
3. Добавьте «-----END CERTIFICATE-----» в конец файла.
4. Сохраните текстовый файл с расширением .CRT или .PEM.

• Необходимые условия: Пользователи должны быть настроены в обеих системах (AppsFlyer и IdP) с использованием одного и того же адреса электронной почты
• Только администратор может активировать или деактивировать SSO
• Если для функции установлен режим «Только единый вход», все пользователи должны входить в систему, используя только технологию единого входа и определенные пользователи не могут быть исключены
• Не рекомендуется включать SSO одновременно с другим способом аутентификации (например, посредством имени пользователя и пароля)

При отключении аутентификации через SSO пользователи смогут входить в систему другими способами, например, при помощи имени пользователя и пароля AppsFlyer, а также метода 2FA.

1. На верхней панели откройте меню аккаунта (выпадающее меню адреса электронной почты администратора)> Центр безопасности.
2. В разделе Повышенная безопасность входа в системувыберите Настройка способа входа в систему.
3. В разделе Единый вход (SSO) выключите переключатель Единый вход.

Одновременно можно использовать только один безопасный метод входа: SSO или 2FA.

• Чтобы активировать метод 2FA при активной функции SSO: Сначала деактивируйте SSO, затем активируйте 2FA
• Чтобы активировать метод SSO при активной функции 2FA: Сначала отключите 2FA, затем активируйте SSO

Убедитесь, что все адреса электронной почты пользователей настроены в обеих системах— в вашем сервисе поставщика идентификационных данных и на платформе AppsFlyer. Если причина не в этом, обратитесь к своему менеджеру по работе с клиентами, чтобы узнать причину и способы устранения проблемы. При этом ваш менеджер по работе с клиентами также может временно отключить функцию Принудительный вход через SSO, чтобы пользователи могли авторизоваться с помощью электронной почты и пароля. 

Тестовая среда не требуется. Следуйте инструкциям в шаге 3 для тестирования входа в систему через SSO либо со стороны поставщика идентификационных данных, либо со стороны поставщика услуг (AppsFlyer).

AppsFlyer через платформу предупредит вас о том, что срок действия вашего сертификата SSO AppsFlyer истекает. Выполните следующие действия, чтобы внедрить новый сертификат AppsFlyer:

1. Создайте новый файл сертификата с обновленным ключом шифрования.
2. Перейдите к своему поставщику идентификационных данных и внедрите новый сертификат AppsFlyer.
3. После внедрения вернитесь в раздел Единый вход (SSO), нажмите Подтвердить внедрение сертификата и подтвердите, что вы обновили последний сертификат AppsFlyer.

После выбора опции Принудительный вход через SSOи сохранения конфигурации эта опция становится недоступной. Чтобы снова активировать опцию Принудительный вход через SSO, вам потребуется повторить настройку в шаге 2 процесса SSO с самого начала.

Внедрение сертификата AppsFlyer в сервис поставщика идентификационных данных настоятельно рекомендуется, но не является обязательным. Для некоторых поставщиков идентификационных данных, таких как Google Workspace и Microsoft Entra ID, по умолчанию не требуется сертификат поставщика услуг.

SSO — это метод аутентификации, который позволяет пользователям получать доступ к нескольким независимым приложениям, системам или платформам, войдя в систему один раз через сервис поставщика идентификационных данных (например, Okta, Azure AD или OneLogin). Добавление AppsFlyer в ваш сервис IdP позволяет пользователям входить в AppsFlyer непосредственно через вашего поставщика идентификационных данных с помощью технологии единого входа (SSO). Благодаря этому пользователи могут автоматически входить в систему в рамках процедуры более безопасной идентификации с использованием только одного набора учетных данных.

Платформа AppsFlyer поддерживает верификацию посредством SSO с использованием протокола SAML2.0. Внедрив сертификат аутентификации AppsFlyer в ваш сервис поставщика идентификационных данных SAML 2.0, ваш поставщик идентификационных данных генерирует токен с аутентифицированными данными пользователя. Тот же процесс выполняется со стороны вашего IdP в отношении AppsFlyer — его токен внедряется в AppsFlyer.

AppsFlyer предоставляет сертификат шифрования для шифрования данных и подписи запроса SSO. Вы можете выбрать, какой сертификат использовать:

• Сертификат, подписанный AppsFlyer: Сертификат AppsFlyer (документ .crt). Вы можете получить этот сертификат из URL-адреса метаданных AppsFlyer (см. ниже).
• Сертификат, подписанный ЦС: Сертификат AppsFlyer, подписанный Amazon. Чтобы получить этот сертификат, обратитесь к своему менеджеру по работе с клиентами.

Создание файла сертификата AppsFlyer

Чтобы создать файл сертификата, необходимо создать файл, содержащий ключ шифрования. Делается это в два этапа:

1. Получите необходимые данные.
2. Создайте текстовый файл и введите данные.

1. Получение данных

Вы можете получить данные для файла сертификата либо из Центра безопасности, либо через URL-адрес метаданных:

Из Центра безопасности AppsFlyer:

1. На верхней панели откройте меню аккаунта (выпадающее меню адреса электронной почты администратора)> Центр безопасности.
2. В разделе Повышенная безопасность входа в системувыберите Настройка способа входа в систему.
3. В разделе Единый вход (SSO), рядом с опцией Копировать последний сертификат нажмите Вид.
4. Скопируйте ключ шифрования.

Из URL-адреса метаданных:

1. Откройте URL-адрес метаданных AppsFlyer и найдите use="encryption".
2. Скопируйте данные из элемента X509Certificate элемента  use="encryption" (см. данные элемента, выделенные на изображении ниже).

2. Создание текстового файла сертификата:

Получив необходимые данные, создайте текстовый файл, содержащий данные, как описано ниже:

1. Вставьте скопированные данные в новый текстовый файл.
2. Вставьте «-----BEGIN CERTIFICATE-----» в начало файла.
3. Добавьте «-----END CERTIFICATE-----» в конец файла.
4. Сохраните текстовый файл с расширением .CRT или .PEM.

• Необходимые условия: Пользователи должны быть настроены в обеих системах (AppsFlyer и IdP) с использованием одного и того же адреса электронной почты
• Только администратор может активировать или деактивировать SSO
• Если для функции установлен режим «Только единый вход», все пользователи должны входить в систему, используя только технологию единого входа и определенные пользователи не могут быть исключены
• Не рекомендуется включать SSO одновременно с другим способом аутентификации (например, посредством имени пользователя и пароля)

При отключении аутентификации через SSO пользователи смогут входить в систему другими способами, например, при помощи имени пользователя и пароля AppsFlyer, а также метода 2FA.

1. На верхней панели откройте меню аккаунта (выпадающее меню адреса электронной почты администратора)> Центр безопасности.
2. В разделе Повышенная безопасность входа в системувыберите Настройка способа входа в систему.
3. В разделе Единый вход (SSO) выключите переключатель Единый вход.

Одновременно можно использовать только один безопасный метод входа: SSO или 2FA.

• Чтобы активировать метод 2FA при активной функции SSO: Сначала деактивируйте SSO, затем активируйте 2FA
• Чтобы активировать метод SSO при активной функции 2FA: Сначала отключите 2FA, затем активируйте SSO

Убедитесь, что все адреса электронной почты пользователей настроены в обеих системах— в вашем сервисе поставщика идентификационных данных и на платформе AppsFlyer. Если причина не в этом, обратитесь к своему менеджеру по работе с клиентами, чтобы узнать причину и способы устранения проблемы. При этом ваш менеджер по работе с клиентами также может временно отключить функцию Принудительный вход через SSO, чтобы пользователи могли авторизоваться с помощью электронной почты и пароля. 

Тестовая среда не требуется. Следуйте инструкциям в шаге 3 для тестирования входа в систему через SSO либо со стороны поставщика идентификационных данных, либо со стороны поставщика услуг (AppsFlyer).

AppsFlyer через платформу предупредит вас о том, что срок действия вашего сертификата SSO AppsFlyer истекает. Выполните следующие действия, чтобы внедрить новый сертификат AppsFlyer:

1. Создайте новый файл сертификата с обновленным ключом шифрования.
2. Перейдите к своему поставщику идентификационных данных и внедрите новый сертификат AppsFlyer.
3. После внедрения вернитесь в раздел Единый вход (SSO), нажмите Подтвердить внедрение сертификата и подтвердите, что вы обновили последний сертификат AppsFlyer.

После выбора опции Принудительный вход через SSOи сохранения конфигурации эта опция становится недоступной. Чтобы снова активировать опцию Принудительный вход через SSO, вам потребуется повторить настройку в шаге 2 процесса SSO с самого начала.

Внедрение сертификата AppsFlyer в сервис поставщика идентификационных данных настоятельно рекомендуется, но не является обязательным. Для некоторых поставщиков идентификационных данных, таких как Google Workspace и Microsoft Entra ID, по умолчанию не требуется сертификат поставщика услуг.