Пропустить навигацию

Настройка входа по SSO

Обновлено: 28.12.2025

С технологией единого входа (Single Sign-On, SSO) пользователь может войти в несколько связанных сервисов с единым логином и паролем. Например, войти в корпоративный портал и одновременно получить доступ к Kinescope. Это упрощает управление доступом и повышает безопасность.

Кому подходит эта статья

  • Администраторам корпоративных систем — нужно интегрировать Kinescope с существующей системой аутентификации
  • IT-специалистам — требуется настроить SSO через Keycloak или AD FS
  • Владельцам корпоративных аккаунтов — нужно упростить управление доступом сотрудников
  • Разработчикам интеграций — требуется настроить единый вход для пользователей

Создание и настройка клиента в Keycloak

  1. Для создания клиента в новом realm перейдите в раздел “Clients” и нажмите “Create client”.

Создание клиента в Keycloak

  1. Введите id клиента (“Client ID”).

Ввод Client ID в Keycloak

  1. Нажмите “Next”, выберите “Standard flow” и включите “Client authentication”.

Настройка потока аутентификации в Keycloak

  1. В поле “Valid redirect URLs” укажите https://app.kinescope.io/api/oauth2/callback/sso и нажмите “Save” для сохранения клиента.

Настройка redirect URL в Keycloak

  1. Для создания роли клиента нажмите “Clients” и выберите клиента по ID или наименованию из списка.

Выбор клиента в Keycloak

  1. Перейдите во вкладку “Roles” и создайте через “Create role” нужную роль для пользователя в Kinescope. Например, “kinescope-manager”.

Создание роли в Keycloak

Для корректной настройки используйте следующие наименования ролей:

  • kinescope-admin
  • kinescope-editor_plus
  • kinescope-editor
  • kinescope-manager
  • kinescope-accountant
  • kinescope-viewer

Роли расположены в порядке приоритета. Если передано несколько ролей, то пользователю будет присвоена роль с наименьшим приоритетом.

Подробнее о ролях пользователей в Kinescope и их возможностях читайте в статье «Управление правами доступа в команде».

  1. Далее привяжите созданную роль “kinescope-manager” к роли в подключаемой системе. Для этого с вкладки “Roles” по клику на созданную роль перейдите к её параметрам (“Role details”). Во вкладке “Associated roles” нажмите “Assign role”.

Привязка роли в Keycloak

  1. Отфильтруйте список по клиентам и из списка выберите нужную роль в “Associated roles”. Для подтверждения привязки нажмите “Assign”.

Выбор связанной роли в Keycloak

Теперь пользователи с выбранной ролью в системе будут создаваться в Kinescope с ролью “kinescope-manager”.

  1. Для завершения настройки передайте в поддержку Kinescope параметры: client_id, client_secret и provider_url вида https://{{keycloak-domain}}/realms/{{some_realm}}

Параметры клиента в Keycloak

Список клиентов в Keycloak

Если при настройке возникнет ошибка или понадобится консультация — напишите нам.

Настройка AD FS для Kinescope

Шаг 1: Создание Application Group

Создание Application Group в AD FS

  1. Откройте консоль управления AD FS
  2. В разделе “Application Groups” выберите “Add Application Group…”
  3. В поле Name введите имя группы (например, “Kinescope”)
  4. В поле Description добавьте описание (опционально)
  5. В разделе Template выберите “Server application accessing a web API” из списка Client-Server applications
  6. Нажмите Next для продолжения

Шаг 2: Настройка Server Application

Настройка Server Application в AD FS

  1. Name автоматически заполнится как “Kinescope - Server application”
  2. Client Identifier будет сгенерирован автоматически (например, “123456789qwertyuiop”)
  3. В поле Redirect URI добавьте URL обратного вызова: https://app.kinescope.io/api/oauth2/callback/sso
  4. Нажмите Add для добавления URI в список
  5. Нажмите Next для продолжения

Шаг 3: Настройка учетных данных

Настройка учётных данных в AD FS

  1. Установите флажок “Generate a shared secret”
  2. Система автоматически сгенерирует секретный ключ (например, “WuxzhQ3yW1lsp_MbxY6M1KA1qbp81WvDNzieN”)

Важно: Нажмите кнопку “Copy to clipboard” для копирования секрета. Сохраните этот секрет в безопасном месте - он понадобится для настройки интеграции

  1. Нажмите Next

Шаг 4: Настройка Web API

Настройка Web API в AD FS

  1. Name автоматически заполнится как “Kinescope - Web API”
  2. В поле Identifier добавьте идентификатор (шаг 2 - “123456789qwertyuiop”)
  3. Нажмите Add для добавления идентификатора в список
  4. Нажмите Next

Шаг 5: Настройка разрешений (Client Permissions)

Настройка разрешений в AD FS

  1. В таблице Applications вы увидите:
    • Server application (Ext_Kinescope - Server application)
    • Web API (Ext_Kinescope - Web API)
  3. Выберите Web API из списка
  4. Перейдите на вкладку Client Permissions

Шаг 6: Настройка разрешенных областей (Permitted scopes)

Настройка разрешённых областей в AD FS

  1. На вкладке Client Permissions отображаются текущие разрешения
  2. В разделе Permitted scopes установлены флажки для необходимых разрешений:
    • ✓ allatclaims
    • ✓ aza
    • ✓ email
    • ✓ openid
    • ✓ profile
  4. Для добавления новых разрешений нажмите Add Rule…

Шаг 7: Настройка правил трансформации (Issuance Transform Rules)

Настройка правил трансформации в AD FS

  1. Перейдите на вкладку Issuance Transform Rules
  2. В списке отображаются существующие правила:
    • Claims
    • Kinescope_manager (Role)
    • Kinescope_admin (Role)
    • Kinescope_viewer (Role)
  3. Для добавления нового правила нажмите Add Rule…
  4. В открывшемся окне “Edit Rule - Claims”:
    • Claim rule name: введите “Claims”
    • Rule template: выберите “Send LDAP Attributes as Claims”
    • Attribute store: выберите “Active Directory”
    • Настройте маппинг атрибутов LDAP на исходящие claim types:
      • E-Mail-Addresses → E-Mail Address
      • Display-Name → Name

Шаг 8: Добавление правила для роли менеджера

Добавление правила для роли менеджера в AD FS

  1. Нажмите Add Rule… на вкладке Issuance Transform Rules
  2. Claim rule name: введите “Kinescope_manager”
  3. Rule template: выберите “Send Group Membership as a Claim”
  4. User’s group: укажите группу AD “PYN\Kinescope_manager” (используйте Browse для поиска)
  5. Outgoing claim type: выберите “Role”
  6. Outgoing claim value: введите “kinescope-manager”
  7. Нажмите OK для сохранения правила

Шаг 9: Завершение настройки

Создание Application Group в AD FS

  1. В списке Application Groups отображается созданная группа
  2. Для внесения изменений щелкните правой кнопкой мыши на группе и выберите “Add Application Group…” или “Properties”
  3. Убедитесь, что все настройки сохранены корректно
  • Обязательно сохраните Client Identifier и секретный ключ — они понадобятся для настройки SSO в Kinescope
  • Redirect URI должен точно соответствовать URL, указанному в настройках Kinescope
  • Настройте правила трансформации для всех необходимых ролей (viewer, admin, manager)
  • После завершения настройки протестируйте интеграцию с тестовым пользователем

Что дальше?

После настройки SSO рекомендуем:

  1. Настроить права доступа — проверьте, что роли пользователей настроены корректно
  2. Настройки профиля и рабочей зоны — управление рабочими зонами
  3. Организовать медиатеку — создайте проекты и папки для структурирования контента
  4. Настроить защиту контента — ограничьте доступ к видео по доменам или паролям

Остались вопросы? Напишите в чат поддержки — специалисты помогут!

Связанные статьи

  • Интеграция с Zoom

    Интеграция Kinescope с Zoom: проведение трансляций через RTMP, автоматический импорт записей, расширение аудитории и сбор аналитики по просмотрам.

  • Интеграция с GetCourse

    Интеграция Kinescope с GetCourse: встраивание защищённых видео в уроки, настройка динамических водяных знаков, проведение вебинаров и создание автовебинаров.

  • Интеграция с Bizon365

    Интеграция Kinescope с Bizon365: проведение трансляций через RTMP, стабильное воспроизведение, кастомизируемый плеер и защита контента уровня Netflix.