Полная настройка Trusted.ID: интерфейс, локализация, безопасность и доступ

В этом руководстве по настройке Trusted.ID вы узнаете, как настроить интерфейс и язык системы, управлять доступом пользователей, включить двухфакторную аутентификацию, а также интегрировать сервис с Sentry для мониторинга событий.

Раздел предназначен для администраторов и специалистов по безопасности, которые хотят полноценно управлять настройками Trusted.ID, включая OAuth 2.0 и OpenID Connect.

Содержание:

• Настройка интерфейса и локализации
• Безопасность и доступ
• Каталог и функции
• Смотрите также

💡 Настройки системы размещены в кабинете администратора. Для доступа к кабинету необходима роль Администратор сервиса. Как открыть кабинет администратора →

---

Настройка интерфейса и локализации

💡 Настройка цветов, шрифтов и внешнего вида элементов интерфейса доступна в переменной CUSTOM_STYLES в файле .env. Подробнее в разделе Переменные окружения.

Настройка названия и логотипа системы

Название и логотип отображаются в интерфейсе системы Trusted.ID, а также в мини-виджете и виджете входа.

Чтобы настроить название и логотип:

1. Перейдите в кабинет администратора → вкладка Настройки.

2. Раскройте блок Основная информация.

   

3. Укажите новое название в поле Название приложения.

4. В блоке Логотип приложения нажмите Загрузить и выберите файл с логотипом.

   

   ⚡ Допустимые форматы: JPG, GIF, PNG, WEBP; максимальный размер 1 МБ.

5. Настройте отображение и нажмите Применить.

   

6. Нажмите Сохранить.

💡 Совет: Используйте SVG-формат для векторного логотипа, чтобы обеспечить четкое отображение на всех устройствах и разрешениях экрана.

Настройка локализации

Trusted.ID поддерживает интерфейс на шести языках:

• Русский (ru)
• English (en)
• Français (fr)
• Español (es)
• Deutsch (de)
• Italiano (it)

Выбранный язык влияет на отображение текста во всех интерфейсах Trusted.ID, включая виджет входа и мини-виджет.

Если вы используете дополнительные поля профиля пользователя и шаблоны писем — убедитесь, что они отображаются правильно.

Как изменить язык интерфейса

1. Перейдите в кабинет администратора → вкладка Настройки.

2. Раскройте блок Локализация и выберите необходимый язык из списка.

   

3. Нажмите Сохранить.

Изменение языка произойдет автоматически, без перезапуска сервиса или обновления страницы.

🚨 Предупреждение: После смены языка все тексты в интерфейсе, включая системные сообщения и уведомления, будут отображаться на выбранном языке. Убедитесь, что ваши пользователи понимают выбранный язык.

Настройка шаблонов email-уведомлений

Шаблоны писем — это заготовки электронных писем, которые содержат предустановленное форматирование и элементы оформления. Они используются для создания автоматических уведомлений, таких как письма о регистрации, восстановлении пароля и других событиях.

Что такое Mustache?

Mustache — это простой шаблонизатор для подстановки данных в текстовые шаблоны. В Trusted.ID он используется для:

• Подстановки данных пользователя ({{user.name}}),
• Динамического формирования ссылок ({{confirmation_link}}),
• Условного отображения блоков.

🔗 Официальная документация Mustache

Доступные типы писем

Тип письма	Событие	Назначение
Регистрация	account_create	Приветственное письмо новому пользователю
Код подтверждения	confirmation_code	Письмо с кодом верификации
Ссылка подтверждения	confirmation_link	Письмо с верификационной ссылкой
Изменение пароля	password_change	Уведомление о смене пароля
Запрос восстановления пароля	password_recover	Письмо с кодом верификации
Приглашение	invite	Письмо с приглашением в приложение

Как настроить шаблон

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Найдите блок Шаблоны писем и нажмите Настроить.

3. Выберите нужный шаблон и нажмите Настроить.

   

4. В открывшейся форме редактирования укажите:

   • Название шаблона,
   • Тему письма,
   • Содержимое письма.

   💡 Используйте HTML-разметку и переменные в формате {{variable_name}}. Убедитесь, что используемые переменные совпадают с доступными полями профиля пользователя, чтобы избежать ошибок при отправке письма.

   

5. Нажмите Сохранить.

---

Безопасность и доступ

Настройки доступа

Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) добавляет дополнительный уровень защиты при входе в систему. После ввода первого фактора (логин/пароль или другой способ аутентификации) пользователь должен подтвердить свою личность вторым фактором (телефон, электронная почта, WebAuthn).

Как настроить двухфакторную аутентификацию

1. Перейдите в кабинет администратора → вкладка Настройки.

2. Раскройте блок Настройки доступа и нажмите Настроить.

   

3. Укажите провайдеры первого и второго факторов:

   • Провайдер первого фактора — основной способ аутентификации (логин/пароль или другой способ аутентификации).
   • Провайдер второго фактора — способ подтверждения личности (телефон, e-mail, WebAuthn).

   

4. Нажмите Сохранить.

Игнорирование обязательных полей профиля при входе в приложение

Некоторые поля профиля пользователя (например, телефон, почта и прочие) могут быть отмечены как обязательные для заполнения в личном кабинете.

По умолчанию при авторизации в приложения Trusted.ID проверяет наличие всех обязательных полей и может приостанавливать вход, пока пользователь не заполнит недостающие данные. Настройка Игнорировать обязательные поля профиля личного кабинета для приложений позволяет отключить эту проверку.

Это может быть полезно, если организация использует внешние источники данных о пользователях и не требует заполнения профиля вручную.

Что будет при включении настройки

• Пользователи смогут авторизоваться в приложениях, даже если их профиль в личном кабинете заполнен не полностью.
• Проверка обязательных полей выполняться не будет.
• В интерфейсе личного кабинета уведомления о незаполненных полях сохраняются.

Как включить настройку

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Раскройте блок Настройки доступа.
3. Включите переключатель Игнорировать обязательные поля профиля личного кабинета для приложений.
4. Нажмите Сохранить.

После применения настройки пользователи смогут проходить авторизацию без проверки обязательных полей профиля.

💡 Рекомендация: Включайте опцию только в том случае, если контроль полноты профиля осуществляется другими средствами.

Запрет привязки идентификаторов

Эта настройка запрещает пользователям самостоятельно привязывать новые внешние идентификаторы к своему профилю через виджет входа.

Чтобы запретить привязку:

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Раскройте блок Настройки доступа.
3. Активируйте переключатель Запретить привязку идентификаторов на форме виджета.
4. Нажмите Сохранить.

Ограничения доступа

Эта настройка позволяет ограничить вход в приложение для всех пользователей, кроме Администратор сервиса. Все остальные пользователи не смогут авторизоваться.

🚨 Важно: при включении ограничения доступа все пользователи, кроме администраторов сервиса, потеряют возможность входа. Используйте настройку для технических работ или аварийных ситуаций.

Чтобы ограничить доступ:

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Раскройте блок Настройки доступа.
3. Активируйте переключатель Ограниченный доступ для всех приложений.
4. Нажмите Сохранить.

Запрет регистрации

Эта настройка позволяет запретить создание новых аккаунтов в виджете входа.

Чтобы настроить запрет регистрации:

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Раскройте блок Настройки доступа.

3. Выберите необходимую настройку:

   • Регистрация запрещена — полностью блокирует создание новых аккаунтов.
   • Регистрация разрешена (по умолчанию) — стандартный режим работы, пользователи могут создавать аккаунты самостоятельно.

4. Нажмите Сохранить.

Технические параметры

Технические настройки, такие как идентификаторы клиента, параметры безопасности, URL-адреса авторизации, способы аутентификации клиента и параметры токенов и другие, находятся в разделе Параметры приложения.

Ниже перечислены настройки, доступные для редактирования в кабинете администратора. Остальные параметры изменяются через конфигурационный файл.

Чтобы изменить параметры в кабинете администратора:

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Раскройте блок Параметры приложения.

3. Настройте параметры:

   • Ограничение доступа
   • Время аутентификации
   • Токен доступа
   • Токен обновления

4. Нажмите Сохранить.

Описание параметров

Основные идентификаторы

Название	Параметр	Описание
Идентификатор (client_id)	client_id	Уникальный идентификатор приложения
Секретный ключ (client_secret)	client_secret	Конфиденциальный ключ приложения
Адрес приложения	-	Базовый URL сервиса Trusted.ID в формате протокол://доменное имя:порт

Ограничение доступа

Ограничивает вход в личный кабинет только пользователям с административными ролями.

Название	Описание
Ограниченный доступ	Если включено, доступ в личный кабинет будет разрешён только пользователям с правами Администратор сервиса

Возвратный URL

Название	Параметр	Описание
Возвратный URL #	Redirect_uri	URL, на который пользователь будет перенаправлен после успешной аутентификации

URL выхода из системы

Название	Параметр	Описание
URL выхода из системы #	post_logout_redirect_uri	URL, на который сервис будет перенаправлять пользователя после выхода. Если значение не указано, то используется Redirect_uri.

URL запроса аутентификации

Название	Параметр	Описание
URL запроса аутентификации или восстановления после аутентификации #	request_uris	Список URL для размещения JWT-запросов авторизации Request Object. Сервер извлекает JWT с указанного URL при авторизации.

Типы ответов

Название	Параметр	Описание
Тип ответов (response_types)	response_types	Определяет какие токены и коды возвращаются авторизационным сервером: - code — только код авторизации - id_token — только ID токен - code id_token — код + ID токен - code token — код + токен доступа - code id_token token — код + ID токен + токен доступа - none — только подтверждение аутентификации

Типы предоставления доступа

Название	Параметр	Описание
Типы предоставления доступа (grant_types)	grant_types	Способы получения авторизации: - authorization code — безопасный код через сервер клиента (рекомендуется); - implicit — прямое получение токена (для публичных клиентов) - refresh_token — обновление токена без повторного входа

Метод аутентификации клиента

💡 Выбор метода зависит от требований безопасности и возможностей клиента. JWT-методы обеспечивают повышенную безопасность, так как не передают секрет напрямую.

Название	Параметр	Описание
Аутентификация клиента	token_endpoint_auth_method, introspection_endpoint_auth_method, revocation_endpoint_auth_method	Определяет метод аутентификации клиента при обращении к различным конечным точкам (token, introspection, revocation). Доступные методы: - none — без учетных данных; - client_secret_post — учетные данные в теле запроса; - client_secret_basic — HTTP Basic Authentication; - client_secret_jwt — JWT, подписанный секретом клиента; - private_key_jwt — JWT, подписанный приватным ключом клиента.

Алгоритм подписи ID токена

Название	Параметр	Описание
Алгоритм подписи, используемый при создании подписанного ID-токена (id_token_signed_response_alg)	id_token_signed_response_alg	Указывает алгоритм, который используется для подписи ID токена. ID токен — это JSON Web Token (JWT), который содержит утверждения (claims) о аутентификации пользователя

Время аутентификации

Название	Параметр	Описание
Проверка наличия времени Аутентификации (require_auth_time)	require_auth_time	Если включено, в ID токене добавляется auth_time — время последней аутентификации пользователя

Дополнительные параметры безопасности

Название	Параметр	Описание
Параметр для обеспечения безопасности передачи данных между клиентом и сервером авторизации	require_signed_request_object	Указывает, требуется ли подписанный Request Object при отправке запроса на авторизацию. Request Object — это способ безопасной передачи параметров авторизации от клиента к серверу авторизации, обычно в форме JWT (JSON Web Token). Когда require_signed_request_object включен, клиент должен подписать Request Object с использованием заранее согласованного алгоритма подписи, который указан в конфигурации клиента.

Тип передачи идентификатора пользователя

Название	Параметр	Описание
Способ передачи ID пользователя в идентификационном токене (subject_type)	subject_type	Определяет, как формируется sub claim в ID токене: - public — один и тот же идентификатор для всех клиентов - pairwise — уникальный идентификатор для каждого клиента, повышает конфиденциальность

Токен доступа

Название	Параметр	Описание
Токен доступа (access_token_ttl)	access_token_ttl	Время жизни access_token в секундах

Токен обновления

Название	Параметр	Описание
Токен обновления (refresh_token_ttl)	refresh_token_ttl	Время жизни refresh_token в секундах

Подключение Sentry

Sentry — это платформа для мониторинга ошибок и производительности приложений.

📚 Официальный ресурс Sentry

Подключение Sentry позволяет:

• отслеживать ошибки и исключения в реальном времени;
• получать трассировки событий по пользователям;
• анализировать производительность системы.

Как подключить Sentry

Шаг 1. Создание проекта в Sentry

1. Перейдите на сайт Sentry.io.
2. Зарегистрируйтесь или войдите в свою учетную запись.
3. Создайте новый проект.

После создания проекта Sentry предоставит DSN (Data Source Name) — уникальный идентификатор для подключения Trusted.ID к Sentry.

💡 Совет: Скопируйте DSN (Data Source Name), чтобы не потерять его при переходе к следующему шагу.

Шаг 2. Подключение Sentry

Чтобы подключить Sentry:

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Найдите блок Sentry и нажмите Настроить.

3. В открывшейся форме подключения укажите:

   • DSN — уникальный идентификатор, созданный на шаге 1.
   • Активность — включите, чтобы начать отправку ошибок и трассировок в Sentry.
   • ID пользователя (при необходимости) — укажите, если нужно отслеживать ошибки и события по конкретным пользователям.

   

4. Нажмите Сохранить.

Журнал событий

В Журнале можно увидеть, откуда и с каких устройств пользователи заходили в личный кабинет или приложения.

Для каждого события доступен просмотр подробных сведений.

Параметр	Что содержит
Заголовок события	Категория действия
Дата и время	Точные временные метки
Приложение	Идентификатор (client_id) приложения
Пользователь	Идентификатор (id) пользователя
Устройство	Тип устройства и браузер
Местоположение	IP-адрес

Как перейти в журнал

1. Перейдите в кабинет администратора.
2. Откройте вкладку Журнал.

---

Каталог и функции

Управление типами приложений в каталоге

Типы приложений — это категории для систематизации приложений в каталоге. Они помогают организовать структуру и упростить навигацию пользователей.

Зачем нужны типы:

• Помогают группировать приложения по категориям
• Упрощают поиск нужных приложений
• Помогают организовывать структуру каталога

Создание типа приложения

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Найдите блок Типы приложений и нажмите Настроить.
3. В появившемся окне нажмите на кнопку Создать .

4. Откроется форма создания.

   

5. Укажите название типа.

   💡 Название типа должно быть уникальным в рамках системы.

6. Нажмите Сохранить.

   Созданный тип отобразится в списке.

💡 Назначение типа осуществляется при создании приложения.

Редактирование типа приложения

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Найдите блок Типы приложений и нажмите Настроить.

3. Откроется окно со списком типов.

   

4. Нажмите на кнопку Настроить на панели с типом, который необходимо отредактировать.

5. Откроется форма редактирования.
6. Внесите необходимые изменения.
7. Нажмите Сохранить.

💡 После редактирования типа все связанные приложения автоматически получают обновленное название категории.

Удаление типа приложения

1. Перейдите в кабинет администратора → вкладка Настройки.
2. Найдите блок Типы приложений и нажмите Настроить.
3. Откроется окно со списком типов.
4. Нажмите на кнопку Удалить на панели с типом, который необходимо удалить.

Удаление происходит без дополнительного подтверждения.

💡 После удаления тип будет удалён из каталога, а приложения, у которых он был назначен, автоматически получат тип Прочее.

---

Экспериментальные функции

Экспериментальные функции — это новые возможности сервиса Trusted.ID, находящиеся на стадии тестирования и доработки.

Основные характеристики:

• Регулируются администратором сервиса
• Функционал может изменяться без предварительного уведомления
• Содержат недокументированные особенности работы
• Производительность и стабильность могут отличаться от основных функций

Доступ к экспериментальным функциям

Раздел с экспериментальными функциями доступен по адресу: https://ID_HOST/experimental.

Какие функции доступны

1. Визитка пользователя

   • Цифровой аналог визитной карточки с контактными данными
   • Поддержка формата vCard для экспорта
   • Возможность делиться по ссылке или через QR-код

   Подробнее о визитке →

2. Каталог приложений

   • Централизованная площадка для приложений системы Trusted.ID
   • Содержит удобную систему категорий
   • Возможность добавлять приложения в избранные

   Подробнее о каталоге →

   

🚧 Статус: Экспериментальные функции могут быть удалены, изменены или переведены в основной функционал без предварительного уведомления.

---

Смотрите также

• Переменные окружения Trusted.ID — базовые параметры системы.
• Настройка парольной политики и профиля пользователя — настройка безопасности аккаунтов.
• Способы входа и настройка виджета входа — подключение внешних сервисов аутентификации.

Предыдущая

Следующая