Название организации ип: Какое название ИП можно зарегистрировать

Содержание

ИП и фирменные названия | Делай деньги

Любое индивидуальное предприятие может быть рассмотрено как объект, так и субъект экономической деятельности. Как объект – это действительно самостоятельная единица определённого сектора экономики, которая ведёт предпринимательскую деятельность. Как субъект – это предприятие, которое имеет свои личностные и индивидуальные особенности. В любом случае название ИП играет важную роль в развитии бизнеса.

Необходимость регистрации фирменного названия

По законодательству любое ИП должно идентифицироваться по имени владельца. Чаще всего это производится по фамилии, имени и отчеству предпринимателя. Однако, как показывает практика, любой заинтересованный в развитии предприниматель хочет всей своей деятельностью выгодно отличаться от конкурентов. Это позволит выделяться на рынке и быстрее привлекать потенциальных клиентов. Достижение этих целей, успешное решение маркетинговых задач возможно только после регистрации одного из следующих индивидуальных отличий:

  • фирменное название ИП;
  • товарного знака;
  • торговой марки;
  • информационного и красочного логотипа.

Опыт профессиональной деятельности заставляет индивидуальных предпринимателей кроме официального имени разрабатывать индивидуальное название организации ИП. Его выбирают, чтобы оно в полном объёме отражало основное направление деятельности. Его стараются создать информативным, привлекательным, хорошо запоминающимся. Оно должно легко узнаваться потенциальными клиентами. Его указывают на вывесках, рекламных щитах и баннерах, в газетных и журнальных объявлениях, в колонтитулах коммерческих бланков.

Использование правильно выбранного фирменного названия, позволяет решать следующие задачи:

  1. Прежде всего, это – отличный маркетинговый ход. Современное российское законодательство предусматривает для индивидуального предпринимателя названия, в котором должны быть отражены фамилия и инициалы. Форма такого названия выглядит следующим образом «ИП ФИО». Однако закон не запрещает и не ограничивает ИП в выборе фирменных названий, которые позволяют продвигать свою деятельность на рынке. Поэтому ИП может иметь название. Можно придумать хорошее и привлекательное название для магазина, парикмахерской, салона красоты. В этом случае активная и пассивная реклама распространяется гораздо лучше.
  2. Проще организовать и провести рекламную компанию. Красивое, звучное название быстрее, дольше остается на слуху. Владельцы известных брендов, в основу которых положены имя или фамилия владельца не всегда с этим согласны. Распространенной является ситуация, в которой имя, фамилия, отчество индивидуального предпринимателя вызывает неподдельный интерес, чем ни о чём не говорящее абстрактное название. Проще осуществлять поиск ИП по названию.
  3. Отвлечённое имя создаёт хорошие условия анонимности. Это бывает очень удобным в случаях, когда против ИП ведётся нечестная конкурентная борьба. Наёмные сотрудники не смогут помогать таким конкурентам в решении своих недобросовестных задач.

Кроме перечисленных преимуществ возникают обстоятельства, в которых зарегистрированное индивидуальное имя просто необходимо:

  • для предоставления разрешения на выполнение отдельных задач доверенным лицам;
  • для проведения рекламных компаний, участия в выставках, представления своей продукции на конкурсах. Это устранит возможные разногласия, избавит от проблем в сфере авторского права.

 Юридическая регистрация фирменного наименования

При создании своего бизнеса будущий предприниматель хочет получить ответ на следующие вопросы:

  1. Может ли ИП иметь название как организация?
  2. Нужно ли регистрировать название?
  3. Можно или нет считать фирменное наименование ИП аналогом названия фирмы?

В отличие от названия фирмы, компании, организации по существующему законодательству предприниматель не обязан отмечать выбранное индивидуальное наименование в своих документах. Его можно не декларировать в налоговой инспекции. Одинаковое наименование может использоваться для целого ряда объектов: название магазина ИП, пунктов общественного питания и так далее.

Правила выбора, порядок применения фирменных наименований регулируется статьями Гражданского Кодекса (в частности статьёй 1538). После получения разрешения на ведение коммерческой деятельности в качестве ИП, заявитель вправе разработать и применять собственное индивидуальное коммерческое название. Необходимо помнить, что одному объекту может быть присвоено одно наименование.

Кроме фирменного названия ИП может зарегистрировать другой индивидуальный символ. Он называется товарным знаком. Это очень разумно особенно в производственной деятельности. Товарный знак является символьным обозначением. Он отражает индивидуальную особенность деятельности предпринимателя. Такой знак применяется совместно с официальным наименованием ИП.

После регистрации допускается его размещение на печати предпринимателя. Кроме него на печати обязательно должно быть полное название ИП, место осуществления основного вида деятельности. Также должны быть основные реквизиты: ОГРНИП, ИНН. Кроме этого, закон определяет другие особенности разработки и использования любого коммерческого имени. Законодательно определяются права предпринимателя на его использование. обязанности и ответственность.

Индивидуальное коммерческое название может быть свободно зарегистрировано. Это наименование по закону не закрепляется только за ним. Такое же имя может использовать другой предприниматель, компания, общественное объединение.

В Министерстве юстиции ведётся полный учет зарегистрированных индивидуальных наименований. Часто встречающееся название ИП, примеры широко распространённых наименований: кафе «Лира», салон красоты «Совершенство» и так далее. Право первенства всегда сохраняется за тем предпринимателем, от которого поступила заявка на регистрацию раньше других.

Как зарегистрировать название ИП

Установленные правила допускают использование в фирменных наименованиях следующие изображения:

  • отдельные слова, набор слов, аббревиатуру на кириллице или латинице;
  • художественное изображение: рисунок, графика, эстамп, набор символов;
  • объемное изображение.

Перечень допустимых вариантов имён, товарных знаков, логотипов достаточно широк. Он ограничивается существующим законодательством и здравым смыслом. Невозможно в качестве названия для товарного знака выбрать наименование хорошо известного товара. Примеры неправильных названий: марку холодильника нельзя назвать «Холодильник», а новую конструкцию утюга именовать «Утюг».

При выборе фирменного названия своего ИП следует помнить, что такие имена подразделяются на две категории. Первая категория – официальные названия, вторая – коммерческие названия.

Разрабатывать и применять коммерческое название допускается без регистрации. Следовательно, оно может не включаться в учредительные документы.

Создание запоминающегося индивидуального имени, знака, логотипа можно доверить специализированным организациям. Их опытные специалисты по так называемому «неймингу» всегда помогут. Следует помнить, что услуги профессионалов в этой области стоят дорого. Однако вложенные средства будут оправданы. Удачно выбранное индивидуальное коммерческое имя ИП создаст положительный имидж, увеличит поток клиентов, повысит объём продаж, а значит прибыль.

Нужна ли регистрация названия ИП? Она необходима по нескольким причинам:

  1. Во-первых, прохождение этой процедуры позволяет убедиться, что выбранное название не противоречит всем установленным нормам (юридическим, моральным, этическим).
  2. Во-вторых, можно будет понять, и чётко отследить, какой эффект даёт индивидуальное имя. Сколько дополнительных клиентов удалось привлечь, как быстро увеличивается получаемая прибыль.

Существует ряд причин, которые могут привести к отказу в регистрации выбранного имени. Основной причиной является попытка регистрации уже существующего и зарегистрированного имени. Чтобы этого избежать, необходимо на подготовительном этапе обратиться к базе имён Роспатента.

Специалисты этой организации определят оригинальность выбранного названия. Если регистрация невозможна, будет направлен письменный отказ в регистрации с указанием причины отказа. В законодательстве подробно приведены налагаемые ограничения на фирменные названия.

Выполнив необходимые требования, можно подать заявку на регистрацию индивидуального имени. Оформляется официальное заявление. К этому заявлению прикладывается пакет необходимых документов. Его направляют в Роспатент. Подать заявление можно самостоятельно. Если это не удаётся, можно поручить выполнение этой процедуры любому доверенному лицу: вашему представителю, родственнику, сотруднику. Перечень документов для ответа на вопрос, как оформить фирменное название, выглядит следующим образом:

  • заявление в Роспатент установленного образца;
  • квитанция, свидетельствующая об оплате госпошлины;
  • копии документов, подтверждающие регистрацию ИП;
  • отдельное письмо с перечислением всех кодов экономической деятельности.

Целесообразно подбирать имя, которое легко произносится и не вызывает проблем в написании. Особенно важно, чтобы имя отражало деятельность ИП и ассоциировалось с надёжностью и порядочностью предпринимателя. Следует избегать: запутанных терминов, непонятных словосочетаний, географических названий.

Необходимо аккуратно подходить к выбору иностранных слов. Перед употреблением, если точное значение слова неизвестно, обязательно проверьте все варианты перевода и возможные трактовки в словарях и проведите аналогию с другими языками. Неправильное применение иностранных слов, выражений, словосочетаний может отрицательно сказаться на дальнейшем отношении к ИП. Особенно это необходимо, если планируется продвижение своей продукции через сеть интернет.

Регистрация товарного знака

Кроме индивидуального имени, ИП может зарегистрировать свой персональный товарный знак. Этот знак позволяет предпринимателю представлять свой товар, как личную разработку. Он помогает выделить его из продукции конкурентов. Юридически товарный знак не может считаться фирменным наименованием.

Порядок регистрации и использования товарных знаков предусмотрен положениями Гражданского Кодекса. Запрещается государственная регистрация любых обозначений, которые не имеют признаки идентификации. В частности:

  • повсеместно употребляются для обозначения отдельных товаров или группы товаров;
  • уже являются зарегистрированными общепринятыми знаками;
  • обозначают отличительные черты представляемого товара;
  • обозначат форму, отдельные функции товара.

Процессом регистрацией, выдачей разрешений на использование товарных знаков на территории Российской федерации занимается Роспатент. Именно в эту организацию необходимо подать документы. Эта процедура платная. Стоимость определяется величиной государственной пошлины.

Чтобы зарегистрировать свой товарный знак необходимо представить:

  1. Заявление, оформленное надлежащим образом. В нём необходимо указать сведения о заявителе.
  2. Представить графическое изображение товарного знака. Изображение представляется в двух экземплярах. Первый экземпляр крепится к заявлению. Он может быть представлен в компьютерной форме графическим файлом. Второй помещается отдельным приложением.
  3. Подробное словесное описание графического изображения. Оно поясняет смысл предлагаемого знака, раскрывает концепцию, смысловое наполнение, используемые особенности и национальные традиции.
  4. Описание товара или целого перечня товаров, на которые планирует ИП наносить зарегистрированный товарный знак.

Если планируется зарегистрировать не один, а несколько товарных знаков, то необходимо подготовить пакет сопроводительных документов к каждому знаку. При предоставлении каждого пакета документов будет уплачиваться госпошлина.

Решение о регистрации товарного знака (отказ в регистрации) принимают только на основании результатов специальной экспертизы. Все выявленные причины для отказа изложены в ГК РФ (статья 1483). При принятии положительного решения, производится регистрация торгового знака с выдачей соответствующего свидетельства. Его описание и графическое изображение помещается в реестр товарных знаков. Предприниматель получает письменное уведомление о положительном решении.

Срок его действия не превышает 10 лет. После завершения этого срока предприниматель имеет право пролонгировать. Количество продлений может быть столько раз, сколько это необходимо для коммерческой деятельности.

Сергей

Может ли ИП иметь название?

Вопрос от читательницы Клерк.Ру Марины Алексанян (г. Усть-кут)

Пожалуйста, подскажите, может ли индивидуальный предприниматель иметь название, занимаемся услугами, ремонтом компьютерной техники и обслуживанием ПО. Хочется иметь какое-нибудь средство индивидуализации.

Индивидуальный предприниматель в своем «арсенале» имеет несколько меньше возможностей зарегистрировать себе наименование. Так, в отличие от юридического лица, ИП не имеет фирменного наименования (ст. 1473 ГК РФ). Однако, предприниматель имеет право зарегистрировать товарный знак или знак обслуживания (ст. 1477 ГК РФ), или использовать коммерческое обозначение (ст. 1538).

Принципиальная разница между этими понятиями следующая. Коммерческое обозначение используется для индивидуализации предприятий (имущественного комплекса), например, торговая палатка или офис обслуживания. Товарный знак — обозначение, служащее для индивидуализации товаров, а знак обслуживания – для индивидуализации услуг.

Товарные знаки и знаки обслуживания обязательно должны быть зарегистрированы федеральным органом исполнительной власти по интеллектуальной собственности, чтобы правообладатель имел на него исключительные права (ст. 1479 ГК РФ). Коммерческое обозначение не регистрируется.

Иначе говоря, вы можете придумать наименование своим услугам или своему предприятию, главное, чтобы это наименование не нарушало права других правообладателей (то есть не было идентичным или похожим).

Получить персональную консультацию по регистрации и перерегистрации фирм в режиме онлайн очень просто — нужно заполнить специальную форму. Ежедневно будут выбираться несколько наиболее интересных вопросов, ответы на которые вы сможете прочесть в консультациях специалиста.

Может ли ИП иметь название и логотип?

Может ли ИП иметь название как организация? Какие действия необходимо выполнить индивидуальному предпринимателю, чтобы зарегистрировать товарный знак и в чем особенность данной процедуры? Ответы на эти, а также ряд других вопросов, касающихся наименования и логотипа ИП, представлены в нижеследующем материале.

Согласно нормам гражданского законодательства индивидуальный предприниматель является физическим лицом, получившим право на ведение бизнеса в той или иной сфере. Наименование ИП, как правило, состоит из сочетания организационно-правовой формы предприятия (ИП) и полного имени предпринимателя, зарегистрировавшего бизнес, скажем, ИП Иванов Иван Иванович. Именно это наименование используется при оформлении сделок и заключении договоров. При этом бизнесмен имеет право присвоить коммерческое название своему магазину или парикмахерской, а также зарегистрировать логотип. Как это сделать и в чем преимущества такого коммерческого хода, читайте далее.

Чем выгодно использование коммерческого наименования

Итак, в соответствии с нормами законодательных актов ИП имеет право присвоить своему предприятию коммерческое наименование,  то есть вместо сухого и строгого «ИП Иванов И.И.» на вывеске может красоваться другое более креативное название, скажем, парикмахерская «Эффект» или салон красоты «Орхидея».

В чем преимущества использования коммерческого наименования:

  • удачный маркетинговый ход. Как показывает практика, многие потребители, в частности женщины, уделяют особое внимание названию салонов и магазинов, поэтому у торговой точки с наименованием «Лакомка» больше шансов на привлечение клиентов, чем у магазина «ИП Иванов И. И»;
  • реклама. Значительно легче раскручивать предприятие, имеющее благозвучное название вместо сухой аббревиатуры. Хотя некоторые предприниматели не придерживаются данного мнения, утверждая, что многие клиенты наоборот выбирают магазин по его собственнику. Как правило, это касается небольших населенных пунктов, где практически все жители друг друга знают;
  • анонимность. В некоторых случаях это вполне актуально, в силу различных причин. К примеру, если в прошлом ваша химчистка прославилась низким качеством услуг, что произошло по вине некомпетентного персонала, однако сейчас там работают совсем другие люди, и ситуация в корне изменилась,  вариант с присвоением предприятию коммерческого наименования может быть своеобразной палочкой-выручалочкой.

Некоторые нюансы, касающиеся коммерческого наименования ИП

В отличие от названия ООО, наименование ИП имеет свои особенности:

  1. ООО является юрлицом, поэтому согласно законодательству регистрация его наименования проходит в установленном порядке. Что касается ИП, то предприятие данной организационно-правовой формы официально может называть себя только в соответствии с установленным образцом (ИП Иванов И.И.). Данные о названии общества заносятся в ЕГРЮЛ, об индивидуальном предпринимателе – в ЕГРИП;
  2. даже в том случае, если индивидуальное предприятие имеет коммерческое наименование, отличающееся от того, что внесено в ЕГРИП, в чеке, подтверждающем проведение расчетной операции, указывается форма предприятия (ИП) и полное имя предпринимателя;
  3.  законодательных норм, требующих обязательного внесения информации о коммерческом наименовании ИП в официальную документацию, на данный момент не разработано;
  4. если ИП владеет сетью предприятий, придумывать наименование для каждой торговой точки не нужно. Все магазины или парикмахерские одного и то же владельца могут иметь одно и то же название;
  5. при заключении сделок и составлении договоров с контрагентами и поставщиками ИП должен указывать только то название, под которым предприятие зарегистрировано в ЕГРИП. Путать партнеров по бизнесу коммерческим наименованием не следует.

Условия и порядок регистрации логотипа ИП

С целью индивидуализации своего товара или услуг предприниматель может зарегистрировать свой торговый знак или так называемый логотип. Благодаря наличию логотипа клиенты с легкостью могут определить, кому принадлежит та или иная продукция, поэтому товарный знак, по сути, является рекламой бизнеса, к сожалению, не всегда успешной.

Не стоит путать логотип с коммерческим наименованием, поскольку товарный знак — это уникальное обозначение предприятия, которое может содержать художественные, словесные или иные элементы. Обратите внимание, что наличие логотипа требует создания оригинальной печати, на которой должны присутствовать такие данные:

  1. место осуществления деятельности;
  2. налоговый номер ИП;
  3. официальное наименование;
  4. коммерческое   название;
  5. сведения о дизайнерском логотипе.

Порядок регистрации логотипа, условия и требования относительно его применения регламентированы гражданским законодательством. Законом запрещено использовать логотипы без признаков идентификации или таковые, которые содержат следующие элементы:

  1. обозначения, используемые повсеместно другими предприятиями и организациями;
  2. символы и термины, являющиеся хорошо известными и общепринятыми;
  3. обозначения, так или иначе характеризирующие признаки товара, реализуемого или производимого ИП;
  4. знаки, выражающие функциональные характеристики товара.

Порядок регистрации товарного знака индивидуальным предпринимателем:

  1. подача соответствующей заявки в Роспатент;
  2. оплата государственной пошлины;
  3. предоставление необходимых документов.

Способы подачи заявки о регистрации логотипа:

  1. лично ИП;
  2. через представителя. В данном случае ИП должен выдать представителю доверенность, согласно которой последний имеет право действовать в его интересах и от его имени.

В случае принятия положительного решения заявитель получает соответствующее свидетельство, срок действия которого составляет 10 лет. Данные о логотипе вносятся в реестр. 

«Открыть ИП можно только по фамилии или можно придумать название?» – Яндекс.Кью

Добрый день.

ИП не может дать своему бизнесу понравившееся ему название. Согласно закону есть строго оговоренный шаблон, по которому и называется ИП — это аббревиатура ИП и ФИО самого предпринимателя. Например, «ИП Иванов Петр Семенович», «ИП Сидорова Екатерина Трофимовна», «ИП Гришина Анастасия Степановна» и т.п. ИП в ЕГРИП регистрируются только так, других названий там нет.

Причина такого подхода кроется в том, что ИП — это статус физического лица, а не юридического. А физическое лицо у нас определяется именно по ФИО. Но если вашему бизнесу для успеха требуется название, отличное от вашей паспортной фамилии, то есть два пути. Первый — использовать коммерческое обозначение. Второй — зарегистрировать свой уникальный товарный знак.

Замена названия

В жизни действительно есть бизнесы, требующие своего собственного названия. Ну, не может же салон красоты называться «ИП Сидорова Екатерина Трофимовна», а магазин детской одежды «ИП Иванов Петр Семенович».

Самый простой выход — это коммерческое обозначение (название). Для ИП оно может заменять название фирмы, хотя его и не включают в официальные документы.

Коммерческое обозначение помогает вам и другим предпринимателям выделиться на рынке, получить некую долю требуемой индивидуальности. Следует понимать, что одно коммерческое обозначение могут использовать несколько предпринимателей. Если требуется больше подчеркнуть собственную уникальность, необходимо регистрировать товарный знак, который с точки зрения закона не будет являться названием вашего ИП, но позволит вам выстроить собственный бренд. Закон в любом случае вашем официальным названием считает, как уже было сказано, аббревиатуру ИП и ваше ФИО.

Товарный знак — словесное обозначение компании и логотип.

Применять товарный знак в своей деятельности вы можете вместе со своим официальным названием ИП. Его также можно отображать на своей печати, где кроме вашего имени, места деятельности, ОГРН ИП и ИНН будет красоваться и ваш логотип. Важно, чтобы ваше ФИО было указано полностью — это основное законодательное требование. Изображение же вашего товарного знака на печати не запрещается законом, но и не требуется.

В договорах вы должны указывать свое официальное название — ИП + ФИО. Если вы вместо своего официального названия в договоре использовали коммерческое обозначение, то по закону вы обманываете своего контрагента, вернее, сознательно вводите его в заблуждение. А обманывать, как каждый из нас знает, нехорошо. Да и закон следит за тем, чтобы мы так не поступали.

Как стать обладателем личного товарного знака?

Товарные знаки попадают под действие ГК РФ. Да, существуют определенные запреты на использование того или иного словесного или изобразительного обозначения. Есть очевидные запреты, есть не вполне очевидные. Очевидные запреты касаются неэтичных и ненормативных словосочетаний. Также вы не можете в качестве товарного знака зарегистрировать общепринятое название.

Регистрацией товарных знаков занимается Роспатент. Именно туда вы подаете соответствующее заявление, правда, до этого вам необходимо будет оплатить госпошлину. Кроме этого, в Роспатент потребуется подать информацию о своем ИП, описание товарного знака, его обозначение, а также перечень услуг или товаров, в отношении которых вы хотите зарегистрировать свой товарный знак.

Документы можно отнести на регистрацию лично, можно передать через доверенное лицо, оформив на него у нотариуса требуемую доверенность. Кроме того, подать документы можно по почте или даже по факсу, но потом вам все равно потребуется предоставить оригиналы требуемых документов. Сегодня можно воспользоваться и Интернетом, но требуется наличие электронно-цифровой подписи.

Если вы хотите зарегистрировать несколько товарных знаков, то на каждый знак документы подаются отдельно.

В Роспатенте ваше заявление и приложенные к нему документы рассматриваются, и после выносится соответствующее решение. Если предполагаемый товарный знак противоречит требованиям ГК, то в регистрации его вам откажут. Если ваше заявление будет одобрено, то в реестре зарегистрируют ваш товарный знак, а вы получите свидетельство на него.

Владеть зарегистрированным товарным знаком вы будете 10 лет, дальше, если знак вам все еще будет нужен, это право собственности необходимо будет продлить. Продлевать можно бесконечное число раз.

Следует знать, что закон не требует регистрации вашего товарного знака. Предприниматель делает это по собственному усмотрению, желая ограничить себя от притязаний, застраховать на случай плагиата и т.д.

Перед регистрацией товарного знака следует проверить, что его нет на рынке, что никто до вас его уже не использует! В противном случае законный владелец товарного знака может потребовать с вас компенсации за нанесенный ущерб.

Вас также может заинтересовать статья «Как ИП зарегистрировать товарный знак» https://sovcom.pro/art/kak-ip-zaregistrirovat-tovarnyy-znak

И «Товарный знак как инструмент защиты вашего бизнеса» https://sovcom.pro/art/tovarnyy-znak-kak-instrument-zaschity-vashego-biznesa

Может ли ИП иметь название как организация

Содержание статьи

Чтобы ответить на вопрос, может ли ИП иметь название как организация, необходимо обратиться к положениям российского гражданского законодательства. В частности, ст. 1538 ГК говорит о том, что индивидуальные предприниматели в своей деятельности могут использовать для персональной характеристики и указания на принадлежность именно им различных предприятий коммерческие обозначения, которые фирменными наименованиями не являются.

То есть суть заключается в следующем, что во всех официальных документах будут упоминаться полные фамилия, имя, отчество ИП, а для магазина, салона, фирмы будет использоваться коммерческое наименование. Также можно зарегистрировать торговый знак.

Плюсы использования названия для ИП

  • Маркетинговый ход. Проанализировав российское законодательство, можно сделать вывод, что название бизнесмена должно звучать как «ИП ФИО». А вот назвать свой салон красоты «Локон» или «Бигуди» можно легко. Да и престижней, когда наводить красоту идут в место с красивым названием, а не сухой аббревиатурой ИП. И, навряд ли, вы где-либо увидите магазин с вывеской фамилии предпринимателя (хотя пределы человеческого тщеславия непредсказуемы).
  • Реклама. Это пункт, который вытекает из предыдущего. Но в наше время без рекламы никуда. И быстрее остается на слуху остается благозвучное название, чем фамилия предпринимателя. Хотя в этом случае владельцы известных именитых брендов могла бы поспорить. И здесь распространенной является ситуация, когда имя с фамилией предпринимателя вызовет больше интереса, чем, если бы его закрыли каким-либо безликим названием.
  • Анонимность. Нанятые вами сотрудники могут выполнять все свои функциональные обязанности, и никто не догадается, что химчистка «Чистюля» на самом деле принадлежит вам.

Отдельные положения

  • ИП может иметь название как организация, но между ними изначально существует разница. Она заключается в том, что организации регистрируют в ЕГРЮЛ свое фирменное наименование. Индивидуальных же предпринимателей заносят в реестр по ФИО.
  • При выдаче чека или иного расчетного документа на нем будет стоять персональные данные предпринимателя, а не его коммерческое название.
  • Обязательному включению в официальные документы коммерческое обозначение ИП не подлежит.
  • Несколько объектов осуществления предпринимательской деятельности могут иметь одно название.
  • При заключении договоров бизнесмены должны указывать свое официальное имя и не вводить в заблуждение контрагентов, используя коммерческие обозначения.

Регистрация товарного знака ИП

ИП также может зарегистрировать свой товарный знак (товарную или торговую марку, бренд) – это обозначение, которое предназначается для индивидуализации товара и отличия его от конкурентов. На нем может присутствовать словесное, художественное или иное обозначение. Юридически фирменным названием оно не является.

Кроме того, в этом случае, в том числе и для поддержания имиджа, бизнесмен должен заказать оригинальную печать. Она должна содержать: ИНН, где осуществляется деятельность, коммерческое и официальное имя, дизайнерский логотип.

Порядок регистрации и использования товарных знаков регулируют нормы ГК РФ. В частности, запрещается государственная регистрация обозначений без признаков идентификации или с содержанием только таких элементов, которые:

  • повсеместно употребляются для обозначения определенных товаров;
  • являются общепринятыми символами и терминами;
  • обозначают характеризующие черты товара;
  • представляют собой форму и функции товара.

Для регистрации товарного знака, необходимо в Роспатент подать заявку и заплатить пошлину.  К заявке необходимо приложить: собственно обозначение в 2-х экз., его описание и перечень товаров, на который этот знак будет распространяться. Это можно сделать лично или через представителя по доверенности. После положительного рассмотрения заявки торговый знак регистрируется в реестре, осуществляется публикация сведений о регистрации. Удостоверять право на конкретный товарный знак будет соответствующее свидетельство, которое действует десять лет и может быть пролонгировано на неопределенный срок

Таким образом, ответ на вопрос, может ли ИП иметь свое название, зависит от стратегии бизнеса и собственного желания бизнесмена.

Финансы. Данные организации или ИП. / База знаний FL.ru / FL.ru

После основной информации нужно заполнить данные об организации или ИП.

Резиденты и нерезиденты РФ указывают разные данные, но формат заполнения адресов одинаковый для всех. Значения вводятся через запятую, это обязательное техническое условие

Точно в указанной последовательности

  1. индекс
  2. страна
  3. населенный пункт,
  4. улица,
  5. номер дома
  6. номер корпуса (если есть)
  7. номер квартиры/офиса/помещения (у ИП — если дом не частный).

Резиденты Российской Федерации

Юридические лица

Индивидуальные предприниматели

Тип организации

Выберите ваш тип юридического лица из выпадающего списка. Если в списке нет нужного значения — пожалуйста, свяжитесь со службой поддержки.

В выпадающем списке выберите значение индивидуальный предприниматель.

Название организации

Полное или официальное сокращенное название юридического лица (как указано в свидетельстве о регистрации)

  • Без кавычек
  • Если в названии несколько кавычек, нужно указать только внутренние, внешние подставятся автоматически
  • Без аббревиатуры организационно-правовой формы (ООО/АО/ЗАО и т.д.) 

Тип организации вы уже указали в предыдущем поле. Если вы еще раз напишете его с названием — в документах будет две аббревиатуры. 

Только ФИО предпринимателя

  • полностью
  • без кавычек
  • без сокращений
  • без аббревиатуры ИП

Юридический адрес

Адрес, указанный в регистрационных документах.

Адрес прописки, указанный на штампе в паспорте.

Почтовый адрес

Любой адрес, на который удобно получить письмо.

Можно не тот же, что в поле адрес регистрации, можно абонентский ящик.

Любой адрес, на который удобно получить письмо, не обязательно прописку. Можно абонентский ящик.

ИНН

Идентификационный номер налогоплательщика юридического лица

ИНН физического лица, получившего статус предпринимателя

КПП

Код причины постановки на учет

Не требуется       


Нерезиденты Российской Федерации

Юридические лица

Индивидуальные предприниматели

Полное название организации

Полное или официальное сокращенное название юридического лица (как указано в свидетельстве о регистрации). Если требуется указание организационно-правовой формы, данные вносятся после запятой и без кавычек. Допускается написание на латинице

Только ФИО предпринимателя

  • полностью
  • без кавычек
  • без сокращений
  • после ФИО через запятую аббревиатура ИП (или иная формулировка, принятая в вашей стране)

Юридический адрес

Адрес, указанный в регистрационных документах.

Адрес регистрации по месту жительства.

Почтовый адрес

Любой адрес, на который удобно получить письмо.

Можно не тот же, что в поле адрес регистрации, можно абонентский ящик.

Любой адрес, на который удобно получить письмо, не обязательно регистрационный. Можно абонентский ящик.

Регистрационный номер в налоговом органе

Заполняется только если эти данные обязательны для перевода средств в вашем банке. Уточнить, требуется ли указать этот номер, можно в поддержке банка, обслуживающего счет.

Заполните только если эти данные обязательны для перевода средств в вашем банке. 

В поддержке банка, обслуживающего счет, можно уточнить, нужно ли вам указать этот номер.


После этого блока переходите к заполнению платежных реквизитов.

Наименование ООО, название Общества с ограниченной ответственностью

Из этой статьи Вы узнаете:

  • Что такое наименование или название ООО;
  • Каким может быть его название;
  • Что такое полное и сокращенное название;
  • На каких языках может быть наименование;
  • Может ли название повторятся или оно должно быть уникальным;
  • Что нельзя (какие слова) включать в название ООО;
  • Может ли наименование быть изменено.

Согласно Закону «Об обществах с ограниченной ответственностью» ООО должно иметь полное наименование на русском языке. Также ООО вправе иметь сокращенное наименование на русском языке.

Также Закон позволяет Обществу с ограниченной ответственностью иметь полное и сокращенное наименование на иностранном языке или языке народов РФ.

Полное наименование ООО должно содержать в себе само наименование и слова «Общество с ограниченной ответственностью». Сокращенное наименование должно содержать аббревиатуру «ООО» и полное или сокращенное название Общества.

В настоящий момент наименование ООО не обязательно должно быть уникальным. Таким образом, можно зарегистрировать ООО с названием, которое уже присутствует в ЕГРЮЛ. (т.е., его носит другое юридическое лицо). Но, важно помнить, что согласно части 3 статьи 1474 Гражданского кодекса использовать наименование схожее с наименование другого юридического лица, которое осуществляет аналогичную деятельность, не допускается.

Статья 1474 – Гражданский кодекс

3. Не допускается использование юридическим лицом фирменного наименования, тождественного фирменному наименованию другого юридического лица или сходного с ним до степени смешения, если указанные юридические лица осуществляют аналогичную деятельность и фирменное наименование второго юридического лица было включено в единый государственный реестр юридических лиц ранее, чем фирменное наименование первого юридического лица.

Выбирая наименование ООО учитывайте, что при совпадении названия вашего ООО с названием другого Вы рискуете стать ответчиком в суде за незаконное использование интеллектуальной собственности. Но, это только в том случае, если выбранное Вами название зарегистрировано как товарный знак, принадлежащий другому юридическому лицу.

Ограничивается использование в наименовании (названии) ООО таких слов как: «Российская Федерация», «Россия», «Москва» и т.п., а также производных от них. Для получения разрешения на использование таких слов и словосочетаний нужно обратиться в Министерство Юстиций.

Статья 1473 – Гражданский кодекс

4. В фирменное наименование юридического лица не могут включаться:

1) полные или сокращенные официальные наименования Российской Федерации, иностранных государств, а также слова, производные от таких наименований;

2) полные или сокращенные официальные наименования федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления;

3) полные или сокращенные наименования международных и межправительственных организаций;

4) полные или сокращенные наименования общественных объединений;

5) обозначения, противоречащие общественным интересам, а также принципам гуманности и морали.

Изменение наименования ООО

Наименование ООО может быть изменено. Для изменения названия ООО Общим собранием участников Общества необходимо принять Решение о смене наименования и оформить его Протоколом. Данный факт (смену названия ООО) необходимо зарегистрировать, т.е., внести изменения в ЕГРЮЛ о смене наименования.

Как изменить название организации и контактные данные в Office 365

В этом руководстве по Office 365 мы обсудим, как изменить информацию об организации в Office 365. Мы увидим, как изменить название организации, а также контактные данные в Office 365.

Примечание: Вы должны быть глобальным администратором, чтобы изменить информацию об организации Office 365.

Изменить название организации в Office 365

Чтобы изменить сведения об организации, выполните следующие действия:

Войдите в центр администрирования Office 365.Затем нажмите «Настройки» -> «Настройки» на левой панели навигации.

Затем на странице настроек нажмите Профиль организации -> Информация об организации, как показано ниже:

Откроется страница с информацией об организации, на которой вы сможете увидеть подробную информацию об организации, как показано ниже:

Вы можете изменить название и адрес организации, как показано ниже:

Изменить контактную информацию в Office 365

На той же странице прокрутите вниз, и вы увидите контактные данные, такие как Телефон, Технический контакт (адрес электронной почты).

Это тот же рабочий адрес электронной почты, который вы должны были указать при регистрации бизнес-учетной записи Office 365.

Кроме того, здесь вы можете изменить предпочитаемый язык в Office 365, как показано ниже:

Как изменить страну в Office 365

Если вы хотите изменить страну или регион в своей учетной записи Office 365, то невозможно .

Потому что в зависимости от страны, которую вы выбрали, вы получите доступ к услугам, налогам и валюте выставления счетов, а также местонахождению центра обработки данных.

Если вы действительно хотите что-то изменить, вам нужно оформить новую подписку на Office 365.

Поэтому при регистрации убедитесь, что правильно выбрали страну в Office 365.

Вам могут понравиться следующие уроки:

В этом руководстве по Office 365 мы обсудили, как изменить название организации и контактные данные в клиенте Office 365.

Также мы видели, что мы не можем изменить страну в Office 365.

Всем привет !! Я Бхавана, MVP по SharePoint и обладаю более чем 10-летним опытом работы с SharePoint, а также в.Сетевые технологии. Я работал со всеми версиями SharePoint от wss до Office 365. Я хорошо знаком с настройкой и миграцией с помощью инструментов Nintex, Metalogix. Теперь изучаю больше в SharePoint 2016 🙂 Надеюсь, здесь я смогу внести свой вклад и в полной мере поделиться своими знаниями. Как я считаю, «Нет богатства, как знания, и нет бедности, как невежество»

az ad sp | Документы Microsoft

Управляйте участниками службы Azure Active Directory для автоматической проверки подлинности.

В этой статье

Команды

Создайте субъекта-службы.

  az ad sp create --id  

Примеры

Создайте субъекта-службы. (генерируется автоматически)

  az ad sp create --id 00000000-0000-0000-0000-000000000000  

Обязательные параметры

— id

Идентификатор uri, идентификатор приложения или идентификатор объекта связанного приложения.

Глобальные параметры

— отладка

Увеличьте подробность ведения журнала, чтобы отображались все журналы отладки.

—help -h

Показать это справочное сообщение и выйти.

— только показывать ошибки

Показывать только ошибки без предупреждения.

— выход -o

— запрос

— вербальный

Увеличить подробность ведения журнала. Используйте —debug для полных журналов отладки.

Создайте субъект-службу и настройте его доступ к ресурсам Azure.

Выходные данные включают учетные данные, которые необходимо защитить. Убедитесь, что вы не включаете эти учетные данные в свой код или проверяете учетные данные в исходном элементе управления.В качестве альтернативы рассмотрите возможность использования управляемых удостоверений, если они доступны, чтобы избежать необходимости использовать учетные данные.

По умолчанию эта команда назначает роль «Участник» субъекту службы в области действия подписки. Чтобы снизить риск взлома субъекта-службы, используйте —skip-assignment, чтобы избежать назначения роли, затем назначьте более конкретную роль и сузьте область действия до ресурса или группы ресурсов. См. Инструкции по добавлению назначения ролей для получения дополнительной информации.

ПРЕДУПРЕЖДЕНИЕ. В будущих выпусках эта команда НЕ будет создавать назначение роли «Участник» по умолчанию.При необходимости используйте аргумент —role, чтобы явно создать назначение роли.

  az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--keyvault]
                         [--имя]
                         [--роль]
                         [--scopes]
                         [--sdk-auth {ложь, истина}]
                         [--skip-assignment {ложь, истина}]
                         [- года]  

Примеры

Создать с назначением роли по умолчанию.

  az ad sp create-for-rbac  

Создайте, используя собственное имя и назначение по умолчанию.

  az ad sp create-for-rbac -n «MyApp»  

Создать без назначения по умолчанию.

  az ad sp create-for-rbac --skip-assignment  

Создание с назначением ролей «Участник» в указанной области.

  az ad sp create-for-rbac -n "MyApp" --role Contributor --scopes / subscriptions / {SubID} / resourceGroups / {ResourceGroup1} / subscriptions / {SubID} / resourceGroups / {ResourceGroup2}  

Создать с использованием самозаверяющего сертификата.

  az ad sp create-for-rbac --create-cert  

Создайте с помощью самозаверяющего сертификата и сохраните его в KeyVault.

  az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert  

Создайте с использованием существующего сертификата в KeyVault.

  az ad sp create-for-rbac --keyvault MyVault --cert CertName  

Дополнительные параметры

-серт

Сертификат для учетных данных.

— создать сертификат

Создайте самозаверяющий сертификат для использования в качестве учетных данных. Только текущий пользователь ОС имеет разрешение на чтение / запись этого сертификата.

— хранилище ключей

Имя или идентификатор KeyVault, который будет использоваться для создания или получения сертификатов.

— имя -n

Отображаемое имя субъекта-службы. Если нет, по умолчанию используется azure-cli-% Y-% m-% d-% H-% M-% S, где суффикс — время создания.

— роль

Роль субъекта обслуживания.

— прицелы

Список областей, разделенных пробелами, к которым применяется назначение роли субъекта-службы. По умолчанию используется корень текущей подписки. например, / subscriptions / 0b1f6471-1bf0-4dda-aec3-111122223333, / subscriptions / 0b1f6471-1bf0-4dda-aec3-111122223333 / resourceGroups / myGroup или / subscriptions / 0b1f643371 / resourceGroup / resource33-1bf0-4dda -12222Group / aec3-1bf0-4dda -12222Group провайдеры / Microsoft.Compute / virtualMachines / myVM.

—sdk-auth

Выходной результат совместим с файлом аутентификации пакета SDK для Azure.

допустимые значения: false, true

— пропуска

Пропустить создание назначения по умолчанию, которое позволяет субъекту службы получать доступ к ресурсам в рамках текущей подписки. Если указано, —scopes игнорируется. Вы можете использовать назначение роли az, создать для создания назначений ролей для этого субъекта-службы позже.

допустимые значения: false, true

лет

Количество лет, в течение которых учетные данные будут действительны.По умолчанию: 1 год.

Глобальные параметры

— отладка

Увеличьте подробность ведения журнала, чтобы отображались все журналы отладки.

—help -h

Показать это справочное сообщение и выйти.

— только показывать ошибки

Показывать только ошибки без предупреждения.

— выход -o

— запрос

— вербальный

Увеличить подробность ведения журнала. Используйте —debug для полных журналов отладки.

Удалите участника-службы и его назначения ролей.

  az ad sp удалить --id  

Примеры

Удалите участника-службы и его назначения ролей. (генерируется автоматически)

  az ad sp delete --id 00000000-0000-0000-0000-000000000000  

Обязательные параметры

— id

Имя участника службы или идентификатор объекта.

Глобальные параметры

— отладка

Увеличьте подробность ведения журнала, чтобы отображались все журналы отладки.

—help -h

Показать это справочное сообщение и выйти.

— только показывать ошибки

Показывать только ошибки без предупреждения.

— выход -o

— запрос

— вербальный

Увеличить подробность ведения журнала. Используйте —debug для полных журналов отладки.

Список участников службы.

Для низкой задержки по умолчанию будут возвращены только первые 100, если вы не предоставите аргументы фильтра или не используете «—all».

  az ad sp list [--all]
              [--отображаемое имя]
              [--фильтр]
              [--query-examples]
              [--show-mine]
              [--spn]  

Дополнительные параметры

— все

Перечислите все организации, ожидайте долгой задержки, если в большой организации.

— имя-дисплея

Отображаемое имя объекта или его префикс.

— фильтр

Фильтр OData, например —filter «отображаемое имя eq ‘test’ и servicePrincipalType eq ‘Application’».

— примеры-запросов

Рекомендуем вам строку JMESPath. Вы можете скопировать один из запросов и вставить его после параметра —query в двойных кавычках, чтобы увидеть результаты. Вы можете добавить одно или несколько позиционных ключевых слов, чтобы мы могли давать предложения на основе этих ключевых слов.

— шахта

Список сущностей, принадлежащих текущему пользователю.

— спн

Глобальные параметры

— отладка

Увеличьте подробность ведения журнала, чтобы отображались все журналы отладки.

—help -h

Показать это справочное сообщение и выйти.

— только показывать ошибки

Показывать только ошибки без предупреждения.

— выход -o

— запрос

— вербальный

Увеличить подробность ведения журнала.Используйте —debug для полных журналов отладки.

Получите подробную информацию о субъекте обслуживания.

  az ad sp show --id
              [--query-examples]  

Примеры

Получите подробную информацию о субъекте обслуживания. (генерируется автоматически)

  az ad sp show --id 00000000-0000-0000-0000-000000000000  

Обязательные параметры

— id

Имя участника службы или идентификатор объекта.

Дополнительные параметры

— примеры-запросов

Рекомендуем вам строку JMESPath.Вы можете скопировать один из запросов и вставить его после параметра —query в двойных кавычках, чтобы увидеть результаты. Вы можете добавить одно или несколько позиционных ключевых слов, чтобы мы могли давать предложения на основе этих ключевых слов.

Глобальные параметры

— отладка

Увеличьте подробность ведения журнала, чтобы отображались все журналы отладки.

—help -h

Показать это справочное сообщение и выйти.

— только показывать ошибки

Показывать только ошибки без предупреждения.

— выход -o

— запрос

— вербальный

Увеличить подробность ведения журнала. Используйте —debug для полных журналов отладки.

Обновление субъекта-службы.

  az ad sp update --id
                [--Добавить]
                [--force-string]
                [--Удалить]
                [--set]  

Примеры

обновить принципала службы (создается автоматически)

  az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims = All  

Обязательные параметры

— id

Имя участника службы или идентификатор объекта.

Дополнительные параметры

— добавить

Добавьте объект в список объектов, указав пары путь и значение ключа. Пример: —add property.listProperty <ключ = значение, строка или строка JSON>.

— силовая струна

При использовании ‘set’ или ‘add’ сохраняйте строковые литералы вместо попытки преобразования в JSON.

— удалить

Удалить свойство или элемент из списка. Пример: —remove property.list ИЛИ —remove propertyToRemove.

— набор

Обновите объект, указав путь к свойству и значение, которое необходимо установить. Пример: —set property1.property2 =.

Глобальные параметры

— отладка

Увеличьте подробность ведения журнала, чтобы отображались все журналы отладки.

—help -h

Показать это справочное сообщение и выйти.

— только показывать ошибки

Показывать только ошибки без предупреждения.

— выход -o

— запрос

— вербальный

Увеличить подробность ведения журнала.Используйте —debug для полных журналов отладки.

Ссылка на удаленные метаданные

SP

Содержание

Это справочник параметров метаданных, доступных для метаданных / saml20-sp-remote.php и метаданных / shib13-sp-remote.php . Оба файла имеют следующий формат:

.
   

1 Общие опции

Следующие параметры являются общими для обоих протоколов SAML 2.0. и протокол Shibboleth 1.3:

атрибуты
Это должно указывать, какие атрибуты должен получить SP. это используется, например, в модуле согласия : Согласие , чтобы сообщить пользователю какие атрибуты получит SP, и ядро ​​: AttributeLimit модуль, чтобы ограничить, какие атрибуты отправляются SP.
authproc
Используется для управления атрибутами и ограничения доступа для каждого SP. Видеть руководство по фильтру обработки аутентификации.
base64attributes
Указывает, должны ли атрибуты, отправленные этому SP, быть закодированы в base64. В по умолчанию ЛОЖЬ .
описание
Описание этого SP. Будет использоваться различными модулями, когда они необходимо показать пользователю описание ИП.

Этот вариант можно перевести на несколько языков в одном Кстати как название -опция.

название
Имя этого ИП. Будут использоваться различными модулями при необходимости чтобы показать пользователю имя ИП.

Если этот параметр не установлен, вместо него будет использоваться название организации (если оно доступно).

Этот вариант можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени:

  'name' => [
    'ru' => 'Услуга',
    'no' => 'En tjeneste',
],
  
Название организации
Название организации, ответственной за данную SPP.Это имя не обязательно должно быть пригодным для отображения конечным пользователям.

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени:

  'OrganizationName' => [
    'ru' => 'Пример организации',
    'no' => 'Организация Эксемпель',
],
  

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationURL .

Название организации
Название организации, ответственной за этот IdP.Это имя должно быть подходящим для отображения конечным пользователям. Если этот параметр не указан, вместо него будет использоваться OrganizationName .

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени.

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationName .

ОрганизацияURL
URL-адрес, по которому конечный пользователь может получить дополнительную информацию об организации.

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного URL.

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationName .

политика конфиденциальности
Это абсолютный URL-адрес, по которому пользователь может найти политику конфиденциальности. для этого ИП. Если установлено, это будет отображаться на странице согласия. % SPENTITYID% ​​ в URL-адресе будет заменен идентификатором объекта этого поставщика услуг.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

Примечание : не рекомендуется Будет удалено в следующем выпуске; используйте расширение MDUI вместо

идентификатор пользователя.атрибут
Имя атрибута атрибута, который однозначно идентифицирует Пользователь. Этот атрибут используется, если SimpleSAMLphp необходимо сгенерировать постоянный уникальный идентификатор пользователя.Эта опция может быть установлена как в метаданных, размещенных IdP, так и в метаданных удаленного SP. Значение в Метаданные SP-remote имеют наивысший приоритет. Значение по умолчанию - eduPersonPrincipalName .

2 варианта SAML 2.0

Доступны следующие варианты SAML 2.0:

AssertionConsumerService
URL-адрес конечной точки AssertionConsumerService для этого SP. Эта опция обязательна - без нее вы не сможете отправить ответы обратно в ИП.

Значение этой опции указывается в одном из нескольких форматов конечной точки.

кодировки атрибутов
Какая кодировка должна использоваться для различных атрибутов. Это массив, который отображает имена атрибутов в кодировки атрибутов. Там есть три разных кодировки:
  • строка : будет включать атрибут как обычную строку. Это по умолчанию.
  • base64 : сохранить атрибут как строку в кодировке base64.Этот используется по умолчанию, если для параметра base64attributes -option установлено значение ИСТИНА .
  • raw : сохранить атрибут без изменений. Этот позволяет включать в ответ необработанный XML.
атрибутов. NameFormat
Какое значение будет установлено в поле Формат атрибута заявления. Этот параметр можно настроить в нескольких местах, и фактическое используемое значение извлекается из метаданных следующими приоритет:
  1. Удаленные метаданные SP

  2. Метаданные, размещенные IdP

Значение по умолчанию: урна: оазис: имена: tc: SAML: 2.0: формат имени-атрибута: базовый

Некоторые примеры значений, указанных в SAML 2.0 Core Спецификация:

  • urn: oasis: names: tc: SAML: 2.0: attrname-format: не указано

  • urn: oasis: names: tc: SAML: 2.0: attrname-format: uri (по умолчанию в Shibboleth 2.0)

  • urn: oasis: names: tc: SAML: 2.0: attrname-format: basic (The по умолчанию в Sun Access Manager)

Вы также можете определить собственное значение.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

(этот параметр ранее назывался AttributeNameFormat .)

аудитория
Массив дополнительных сущностей, которые нужно добавить в AudienceRestriction. По умолчанию единственной аудиторией является entityID провайдера.
сертификат данных
Сертификат в кодировке base64 для этого SP.Это альтернатива хранению сертификата в файле на диске и указанию имени файла в опции сертификата .
сертификат
Имя файла сертификата для данного SP. Сертификат используется для проверять подпись сообщений, полученных от ИП (если redirect.validate имеет значение TRUE ), а для утверждений шифрования (если для параметра assertion.encryption установлено значение ИСТИНА, а для общего ключа установлено значение отключен.)
шифрование.черный список алгоритмов
Алгоритмы шифрования, занесенные в черный список. Это массив, содержащий идентификаторы алгоритмов.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

Алгоритм шифрования RSA с заполнением PKCS # 1 v1.5 по умолчанию занесен в черный список из соображений безопасности. Любые утверждения Следовательно, зашифрованные с помощью этого алгоритма расшифровать не удастся.Вы можете преодолеть это ограничение, указав пустой массив в этой опции (или занесение в черный список любых других алгоритмов, кроме этого). Однако это сильно не рекомендуется делать это. Для вашей безопасности включите строку "http://www.w3.org/2001/04/xmlenc#rsa-1_5", если вы воспользуетесь этой возможностью.

ForceAuthn
Установите это значение TRUE , чтобы заставить пользователя повторно аутентифицироваться, когда IdP получает запросы аутентификации от этого SP. По умолчанию ЛОЖНО .
ИмяIDFormat
NameIDFormat , который должен получить этот SP. Это может быть указано в виде строки или массива.

Три наиболее часто используемых значения:

  1. urn: oasis: names: tc: SAML: 2.0: nameid-format: transient
  2. urn: oasis: names: tc: SAML: 2.0: nameid-format: постоянный
  3. urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress

Переходный формат будет генерировать новый уникальный идентификатор каждый раз ИП входит в систему.

Для правильной поддержки постоянных форматов и emailAddress , необходимо настроить фильтры генерации NameID на вашем IdP.

nameid.encryption
Должны ли быть зашифрованы NameID, отправленные этому SP. По умолчанию значение ЛОЖЬ .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

saml20.sign.response
Следует ли подписывать сообщения . По умолчанию ИСТИНА .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

saml20.sign.assertion
Следует ли подписывать элементы . По умолчанию ИСТИНА .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

подпись. Алгоритм
Алгоритм, используемый при подписании любого сообщения, отправляемого данному поставщику услуг. По умолчанию RSA-SHA256.
Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

Возможные значения:

  • http://www.w3.org/2000/09/xmldsig#rsa-sha1 Примечание : использование SHA1 не рекомендуется и будет запрещено в будущем.
  • http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 По умолчанию.
  • http://www.w3.org/2001/04/xmldsig-more#rsa-sha384
  • http://www.w3.org/2001/04/xmldsig-more#rsa-sha512
подпись.частный ключ
Имя файла закрытого ключа для этого IdP в формате PEM. Имя файла указывается относительно каталога cert /.
Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Эта запись в метаданных SP-remote переопределяет параметр privatekey в метаданных, размещенных IdP.
подпись.privatekey_pass
Кодовая фраза для закрытого ключа. Не используйте этот параметр, если закрытый ключ не зашифрован.
Обратите внимание, что эта опция используется, только если подпись .privatekey присутствует.
подпись. Свидетельство
Файл сертификата, включенный IdP для KeyInfo в подпись для SP, в формате PEM. Имя файла указывается относительно каталога cert /.
Если присутствует signature.privatekey , а значение signature.certificate оставлено пустым, X509Certificate не будет включен в подпись.
подпис. Выход
Следует ли подписывать сообщения о выходе из системы, отправленные этому SP.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

simplesaml.nameidattribute
Если для параметра NameIDFormat установлено значение , адрес электронной почты или , постоянный , это имя атрибута, который следует использовать как значение NameID . Атрибут должен быть в наборе атрибутов, экспортируемых в SP (т. е. быть в массив атрибутов ).Для более расширенного контроля над NameID , включая возможность указать любой атрибут независимо от набор, отправленный SP, см. фильтры обработки NameID. Обратите внимание, что значение атрибута собирается после запуска authproc-filter.

Типичными значениями могут быть mail при использовании формата email , и eduPersonTargetedID при использовании постоянного формата .

simplesaml.атрибуты
Должен ли SP получать какие-либо атрибуты от IdP. В значение по умолчанию - ИСТИНА .
SingleLogoutService
URL-адрес конечной точки SingleLogoutService для этого SP. Эта опция необходима, если вы хотите реализовать единый выход для это ИП. Если опция не указана, этот SP не будет регистрироваться. автоматически отключается при инициализации единственной операции выхода.

Значение этой опции указывается в одном из нескольких форматов конечной точки.

SingleLogoutServiceResponse
На этот SP должен быть отправлен URL-адрес выхода из системы. Если этот вариант не указано, конечная точка SingleLogoutService будет использоваться как получатель ответов о выходе из системы.
SPNameQualifier
Спецификатор NameQualifier для этого SP. Если не установлен, IdP установит SPNameQualifier должен быть идентификатором объекта SP.
validate.authnrequest
Требуется ли нам подписи в запросах аутентификации, отправленных от этого SP.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

validate.logout
Требуются ли подписи для сообщений о выходе из системы, отправляемых этим SP.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

2.1 Шифрование утверждений

Можно зашифровать утверждения, отправленные на SP. В настоящее время поддерживается только алгоритм: AES128_CBC или RIJNDAEL_128 .

SimpleSAMLphp поддерживает два режима шифрования. Один симметричное шифрование, и в этом случае и SP, и IdP должны поделитесь ключом. Другой режим - использование шифрования с открытым ключом. В В этом режиме открытый ключ SP извлекается из сертификата СП.

утверждение.шифрование
Следует ли зашифровать утверждения, отправленные этому SP. По умолчанию значение ЛОЖЬ .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

общий ключ
Симметричный ключ, который следует использовать для шифрования. Это должно быть 128-битный, 192-битный или 256-битный ключ в зависимости от используемого алгоритма. Если этот параметр не указан, вместо него будет использоваться шифрование с открытым ключом.
sharedkey_algorithm

Алгоритм, который следует использовать для шифрования. Возможные значения:

  • http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • http://www.w3.org/2001/04/xmlenc#aes192-cbc
  • http://www.w3.org/2001/04/xmlenc#aes256-cbc
  • http://www.w3.org/2009/xmlenc11#aes128-gcm
  • http://www.w3.org/2009/xmlenc11#aes192-gcm
  • http://www.w3.org/2009/xmlenc11#aes256-gcm

2.2 поля для подписи и проверки сообщений

SimpleSAMLphp по умолчанию подписывает только ответы на аутентификацию. Подпись запросов на выход и ответов на выход может быть включена установка опции redirect.sign . Проверка полученных сообщений можно включить с помощью параметра redirect.validate .

Эти параметры переопределяют параметры, заданные в saml20-idp-hosted .

redirect.sign
Должны ли запросы на выход и ответы на выход, отправленные на этот SP быть подписанным.По умолчанию ЛОЖЬ .
redirect.validate
Ли запросы аутентификации, запросы выхода и выхода из системы ответы, полученные от этого ИП, должны быть проверены. По умолчанию ЛОЖЬ

Пример: конфигурация для проверки сообщений

  'redirect.validate' => ИСТИНА,
'certificate' => 'example.org.crt',
  

2.3 Поля для определения объема

Актуально только в том случае, если вы являетесь прокси / мостом и хотите ограничить количество idps. зр можно использовать.

IDPList
Список idps в области видимости, т.е. список entityid для idps, которые актуально для этого зр. Последний список - это объединение списка заданный как параметр для InitSSO (в sp), список настроен в sp и список, настроенный на ipd (здесь) для этого sp. Пересечение окончательного списка, и идентификаторы idps, настроенные на этом идентификаторе idp, будут при необходимости предоставляется пользователю в службе обнаружения. Если бы только один idp находится на пересечении, служба обнаружения перейдет непосредственно к idp.

Пример: конфигурация для определения объема

  'IDPList' => ['https://idp1.wayf.dk', 'https://idp2.wayf.dk'],
  

3 варианта Shibboleth 1.3

Обратите внимание, что поддержка Shibboleth 1.3 устарела и будет удалена в следующем основном выпуске SimpleSAMLphp.

Для Shibboleth 1.3 SP доступны следующие варианты:

аудитория
Значение, которое должно быть указано в элементе в -элемент в ответе.В значение по умолчанию - это идентификатор объекта SP.
AssertionConsumerService
URL-адрес конечной точки AssertionConsumerService для этого SP. Эта конечная точка должна принимать ответы SAML, закодированные с помощью урна: оазис: имена: tc: SAML: 1.0: профили: browser-post кодировка . Эта опция обязательна - без нее вы не сможете отправить ответы обратно в ИП.

Значение этой опции указывается в одном из нескольких форматов конечной точки.

ИмяQualifier
Какое значение NameQualifier -атрибут -элемент должен быть. Значение по умолчанию - идентификатор объекта ИП.
scopedattributes
Массив с именами атрибутов, область действия которых должна быть определена. Обсуждаемый атрибуты получат Scope -attribute на AttributeValue -элемент. Значение атрибута Scope будет берется из значения атрибута:

someuser @ example.org

будет преобразовано в

someuser

По умолчанию атрибуты не ограничены. Эта опция отменяет вариант с таким же именем в метаданных shib13-idp-hosted.php файл.

Ссылка на удаленные метаданные SP

Содержание

Это справочник по параметрам метаданных, доступным для metadata / saml20-sp-remote.php . Оба файла имеют следующий формат:

.
   

1 Общие опции

Можно установить следующие параметры:

атрибуты
Это должно указывать, какие атрибуты должен получить SP.это используется, например, в модуле согласия : Согласие , чтобы сообщить пользователю какие атрибуты получит SP, и ядро ​​: AttributeLimit модуль, чтобы ограничить, какие атрибуты отправляются SP.
authproc
Используется для управления атрибутами и ограничения доступа для каждого SP. Видеть руководство по фильтру обработки аутентификации.
base64attributes
Указывает, должны ли атрибуты, отправленные этому SP, быть закодированы в base64. В по умолчанию ЛОЖЬ .
описание
Описание этого SP. Будет использоваться различными модулями, когда они необходимо показать пользователю описание ИП.

Этот вариант можно перевести на несколько языков в одном Кстати как название -опция.

название
Имя этого ИП. Будут использоваться различными модулями при необходимости чтобы показать пользователю имя ИП.

Если этот параметр не установлен, вместо него будет использоваться название организации (если оно доступно).

Этот вариант можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени:

  'name' => [
    'ru' => 'Услуга',
    'no' => 'En tjeneste',
],
  
Название организации
Название организации, ответственной за данную SPP. Это имя не обязательно должно быть пригодным для отображения конечным пользователям.

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени:

  'OrganizationName' => [
    'ru' => 'Пример организации',
    'no' => 'Организация Эксемпель',
],
  

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationURL .

Название организации
Название организации, ответственной за этот IdP. Это имя должно быть подходящим для отображения конечным пользователям. Если этот параметр не указан, вместо него будет использоваться OrganizationName .

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени.

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationName .

ОрганизацияURL
URL-адрес, по которому конечный пользователь может получить дополнительную информацию об организации.

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного URL.

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationName .

AssertionConsumerService
URL-адрес конечной точки AssertionConsumerService для этого SP.Эта опция обязательна - без нее вы не сможете отправить ответы обратно в ИП.

Значение этой опции указывается в одном из нескольких форматов конечной точки.

кодировки атрибутов
Какая кодировка должна использоваться для различных атрибутов. Это массив, который отображает имена атрибутов в кодировки атрибутов. Там есть три разных кодировки:
  • строка : будет включать атрибут как обычную строку.Это по умолчанию.
  • base64 : сохранить атрибут как строку в кодировке base64. Этот используется по умолчанию, если для параметра base64attributes -option установлено значение ИСТИНА .
  • raw : сохранить атрибут без изменений. Этот позволяет включать в ответ необработанный XML.
атрибутов. NameFormat
Какое значение будет установлено в поле Формат атрибута заявления.Этот параметр можно настроить в нескольких местах, и фактическое используемое значение извлекается из метаданных следующими приоритет:
  1. Удаленные метаданные SP

  2. Метаданные, размещенные IdP

Значение по умолчанию: urn: oasis: names: tc: SAML: 2.0: attrname-format: uri

Некоторые примеры значений, указанных в SAML 2.0 Core Спецификация:

  • урна: oasis: names: tc: SAML: 2.0: формат-атрибута: не указано

  • urn: oasis: names: tc: SAML: 2.0: attrname-format: uri (по умолчанию в Shibboleth 2.0, обязательно согласно SAML2INT)

  • urn: oasis: names: tc: SAML: 2.0: attrname-format: basic (The по умолчанию в Sun Access Manager)

Вы также можете определить собственное значение.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

аудитория
Массив дополнительных сущностей, которые нужно добавить в AudienceRestriction. По умолчанию единственной аудиторией является entityID провайдера.
сертификат данных
Сертификат в кодировке base64 для этого SP. Это альтернатива хранению сертификата в файле на диске и указанию имени файла в опции сертификата .
сертификат
Имя файла сертификата для данного SP.Сертификат используется для проверять подпись сообщений, полученных от ИП (если redirect.validate имеет значение TRUE ), а для утверждений шифрования (если для параметра assertion.encryption установлено значение ИСТИНА, а для общего ключа установлено значение отключен.)
шифрование. Алгоритмы черного списка
Алгоритмы шифрования, занесенные в черный список. Это массив, содержащий идентификаторы алгоритмов.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP.Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

Алгоритм шифрования RSA с заполнением PKCS # 1 v1.5 по умолчанию занесен в черный список из соображений безопасности. Любые утверждения Следовательно, зашифрованные с помощью этого алгоритма расшифровать не удастся. Вы можете преодолеть это ограничение, указав пустой массив в этой опции (или занесение в черный список любых других алгоритмов, кроме этого). Однако это сильно не рекомендуется делать это. Для вашей безопасности используйте строку http: // www.w3.org/2001/04/xmlenc#rsa-1_5 'если вы воспользуетесь этой возможностью.

ForceAuthn
Установите это значение TRUE , чтобы заставить пользователя повторно аутентифицироваться, когда IdP получает запросы аутентификации от этого SP. По умолчанию ЛОЖНО .
ИмяIDFormat
NameIDFormat , который должен получить этот SP. Это может быть указано в виде строки или массива.

Три наиболее часто используемых значения:

  1. урна: оазис: имена: tc: SAML: 2.0: формат nameid: переходный
  2. urn: oasis: names: tc: SAML: 2.0: nameid-format: постоянный
  3. urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress

Переходный формат будет генерировать новый уникальный идентификатор каждый раз ИП входит в систему.

Для правильной поддержки постоянных форматов и emailAddress , необходимо настроить фильтры генерации NameID на вашем IdP.

nameid.encryption
Должны ли быть зашифрованы NameID, отправленные этому SP. По умолчанию значение ЛОЖЬ .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

saml20.sign.response
Следует ли подписывать сообщения . По умолчанию ИСТИНА .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

saml20.sign.assertion
Следует ли подписывать элементы . По умолчанию ИСТИНА .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

подпись. Алгоритм
Алгоритм, используемый при подписании любого сообщения, отправляемого данному поставщику услуг. По умолчанию RSA-SHA256.
Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

Возможные значения:

  • http://www.w3.org/2000/09/xmldsig#rsa-sha1 Примечание : использование SHA1 не рекомендуется и будет запрещено в будущем.
  • http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 По умолчанию.
  • http://www.w3.org/2001/04/xmldsig-more#rsa-sha384
  • http://www.w3.org/2001/04/xmldsig-more#rsa-sha512
подпись. Личный ключ
Имя файла закрытого ключа для этого IdP в формате PEM. Имя файла указывается относительно каталога cert /.
Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP.Эта запись в метаданных SP-remote переопределяет параметр privatekey в метаданных, размещенных IdP.
подпись.privatekey_pass
Кодовая фраза для закрытого ключа. Не используйте этот параметр, если закрытый ключ не зашифрован.
Обратите внимание, что эта опция используется, только если присутствует signature.privatekey .
подпись. Свидетельство
Файл сертификата, включенный IdP для KeyInfo в подпись для SP, в формате PEM.Имя файла указывается относительно каталога cert /.
Если присутствует signature.privatekey , а значение signature.certificate оставлено пустым, X509Certificate не будет включен в подпись.
подпис. Выход
Следует ли подписывать сообщения о выходе из системы, отправленные этому SP.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

simplesaml.nameidattribute
Если для параметра NameIDFormat установлено значение , адрес электронной почты или , постоянный , это имя атрибута, который следует использовать как значение NameID . Атрибут должен быть в наборе атрибутов, экспортируемых в SP (т. е. быть в массив атрибутов ). Для более расширенного контроля над NameID , включая возможность указать любой атрибут независимо от набор, отправленный SP, см. фильтры обработки NameID.Обратите внимание, что значение атрибута собирается после запуска authproc-filter.

Типичными значениями могут быть mail при использовании формата email , и eduPersonTargetedID при использовании постоянного формата .

simplesaml.attributes
Должен ли SP получать какие-либо атрибуты от IdP. В значение по умолчанию - ИСТИНА .
SingleLogoutService
URL-адрес конечной точки SingleLogoutService для этого SP.Эта опция необходима, если вы хотите реализовать единый выход для это ИП. Если опция не указана, этот SP не будет регистрироваться. автоматически отключается при инициализации единственной операции выхода.

Значение этой опции указывается в одном из нескольких форматов конечной точки.

SingleLogoutServiceResponse
На этот SP должен быть отправлен URL-адрес выхода из системы. Если этот вариант не указано, конечная точка SingleLogoutService будет использоваться как получатель ответов о выходе из системы.
SPNameQualifier
Спецификатор NameQualifier для этого SP. Если не установлен, IdP установит SPNameQualifier должен быть идентификатором объекта SP.
validate.authnrequest

Требуется ли нам подписи в запросах аутентификации, отправленных от этого SP. Установите:

true: запрос authnrequest должен быть подписан (и подпись будет проверена) null: authnrequest может быть подписан, если это так, подпись будет проверена false: подпись authnrequest никогда не проверяется

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP.Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

validate.logout
Требуются ли подписи для сообщений о выходе из системы, отправляемых этим SP.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

1.1 Шифрование утверждений

Можно зашифровать утверждения, отправленные на SP.В настоящее время поддерживается только алгоритм: AES128_CBC или RIJNDAEL_128 .

SimpleSAMLphp поддерживает два режима шифрования. Один симметричное шифрование, и в этом случае и SP, и IdP должны поделитесь ключом. Другой режим - использование шифрования с открытым ключом. В В этом режиме открытый ключ SP извлекается из сертификата СП.

assertion.encryption
Следует ли зашифровать утверждения, отправленные этому SP.По умолчанию значение ЛОЖЬ .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

общий ключ
Симметричный ключ, который следует использовать для шифрования. Это должно быть 128-битный, 192-битный или 256-битный ключ в зависимости от используемого алгоритма. Если этот параметр не указан, вместо него будет использоваться шифрование с открытым ключом.
sharedkey_algorithm

Алгоритм, который следует использовать для шифрования.Возможные значения:

  • http://www.w3.org/2001/04/xmlenc#aes128-cbc
  • http://www.w3.org/2001/04/xmlenc#aes192-cbc
  • http://www.w3.org/2001/04/xmlenc#aes256-cbc
  • http://www.w3.org/2009/xmlenc11#aes128-gcm
  • http://www.w3.org/2009/xmlenc11#aes192-gcm
  • http://www.w3.org/2009/xmlenc11#aes256-gcm

1.2 Поля для подписи и проверки сообщений

SimpleSAMLphp по умолчанию подписывает только ответы на аутентификацию.Подпись запросов на выход и ответов на выход может быть включена установка опции redirect.sign . Проверка полученных сообщений можно включить с помощью параметра redirect.validate .

Эти параметры переопределяют параметры, заданные в saml20-idp-hosted .

redirect.sign
Должны ли запросы на выход и ответы на выход, отправленные на этот SP быть подписанным. По умолчанию ЛОЖЬ .
редирект.проверить
Ли запросы аутентификации, запросы выхода и выхода из системы ответы, полученные от этого ИП, должны быть проверены. По умолчанию ЛОЖЬ

Пример: конфигурация для проверки сообщений

  'redirect.validate' => ИСТИНА,
'certificate' => 'example.org.crt',
  

1.3 Поля для определения объема

Актуально только в том случае, если вы являетесь прокси / мостом и хотите ограничить количество idps. зр можно использовать.

IDPList
Список idps в области видимости, т.е.список entityid для idps, которые актуально для этого зр. Последний список - это объединение списка заданный как параметр для InitSSO (в sp), список настроен в sp и список, настроенный на ipd (здесь) для этого sp. Пересечение окончательного списка, и идентификаторы idps, настроенные на этом идентификаторе idp, будут при необходимости предоставляется пользователю в службе обнаружения. Если бы только один idp находится на пересечении, служба обнаружения перейдет непосредственно к idp.

Пример: конфигурация для определения объема

  'IDPList' => ['https: // idp1.wayf.dk ',' https://idp2.wayf.dk '],
  

Настройка параметров единого входа в организации

Добавление подключения

В этом разделе будет рассказано, как подключить вашу лицензию Qualtrics к SAML SSO. Для начала перейдите на вкладку SSO в настройках вашей организации и выберите Добавить соединение .

Общая информация

Информация о протоколе

В разделе Информация о протоколе выберите SAML .

После выбора SAML вам необходимо будет ввести настройки своего поставщика идентификационной информации, и вы сможете загрузить метаданные нашего поставщика услуг, нажав Загрузить метаданные поставщика услуг . Это доступно только после того, как вы впервые сохранили настройки подключения.

Qtip: Если ваш поставщик удостоверений требует, чтобы вы сначала указали информацию о подключении поставщика услуг, вы сможете увидеть наш идентификатор объекта и URL-адрес потребителя утверждения, прежде чем сможете загрузить полный файл метаданных.

Qtip: Если вы будете использовать InCommon для получения наших метаданных, включите переключатель Use InCommon Metadata . Обратите внимание, что это изменит идентификатор объекта поставщика услуг и URL-адрес ACS, чтобы они соответствовали значениям, используемым в InCommon. Если вы уже настроили своего поставщика удостоверений, вам также потребуется обновить его настройки.

При настройке метаданных поставщика услуг (SP) на портале IdP ознакомьтесь с нашим руководством по распространенным поставщикам удостоверений.

Загрузка настроек поставщика удостоверений

Если у вас есть информация о метаданных вашего IdP, доступная в формате XML, щелкните Загрузить метаданные IdP и вставьте его в открывшееся окно. Это заполнит поля на следующих этапах (идентификатор объекта, привязки службы единого входа, сертификаты) предоставленной вами информацией.

Qtip: Метаданные вашего IdP, скорее всего, будут XML-файлом, который начинается и заканчивается тегами Qtip: Дополнительную информацию о метаданных IdP см. На этом веб-сайте. Обратите внимание, что нам не принадлежит этот PDF-файл или содержащаяся в нем информация.

Идентификатор объекта

Entity ID - это уникальный идентификатор вашего провайдера идентификации, который можно найти в метаданных вашего IdP. Это поле будет автоматически заполнено из ваших загруженных метаданных, или вы можете добавить его вручную.

Привязки службы единого входа

Привязки службы единого входа - это конечные точки, используемые для подключения к поставщику удостоверений, которые можно найти в метаданных вашего IdP.

Чтобы добавить новую привязку вручную,

  1. Выберите Тип привязки . Qualtrics в настоящее время поддерживает HTTP POST и HTTP Redirect.

    Qtip: Если включен HTTP POST, запрос SAML будет подписан.

  2. В разделе Местоположение привязки введите URL-адрес.
  3. Щелкните Добавить привязку .
  4. Как только вы добавите привязку, она появится в списке вверху. Если вы добавили несколько привязок, для включения можно выбрать только , одну .

Вы можете удалить привязки, используя значок корзины справа от привязки.

Сертификаты

Сертификат - это ключ, используемый для аутентификации соединения SAML. Qualtrics требует подписывающий сертификат для входа в систему, инициированного SP, который можно найти в метаданных вашего IdP. Если вы планируете использовать только входы, инициированные поставщиком идентификационной информации, сертификат подписи не требуется.

Чтобы добавить новый сертификат,

  1. Установите Тип сертификата на Подпись .
  2. Под сертификатом , вставьте ключ.
  3. Щелкните Добавить сертификат .

Вы можете добавить несколько сертификатов подписи.

Вы можете удалить сертификаты, используя значок корзины справа от сертификата.

Предупреждение. Срок действия сертификатов истекает очень часто, поэтому вам нужно связаться со своим ИТ-отделом, чтобы убедиться, что сертификаты, используемые для входа в систему Qualtrics, обновлены. Вы можете работать со своей ИТ-группой, чтобы добавить новый сертификат до истечения срока действия старого сертификата и протестировать соединение, чтобы убедиться, что обновление прошло успешно.

Дополнительные опции

Все следующие настройки являются необязательными. Внимательно прочтите, что каждый из них делает, прежде чем включать или отключать их.

  • Sign Request: Если у вас есть привязка, которая является запросом AuthN, и вы хотите, чтобы мы ее подписали, включите этот параметр. Чтобы гарантировать, что запрос поступил от Qualtrics, а не от кого-то, кто мог перехватить сообщение, мы подпишем запрос, отправленный провайдеру идентификации.
  • Принудительная аутентификация: При включении Qualtrics заставит вашего IdP аутентифицировать пользователей, даже если есть активный сеанс.Работает только в том случае, если ваш IdP поддерживает такие настройки.
  • Включить предотвращение повторного воспроизведения утверждений: Если этот параметр включен, Qualtrics не будет повторно использовать утверждение, которое мы уже видели, что является одним из способов предотвращения атак повторного воспроизведения SAML. Мы рекомендуем вам включить эту опцию.

Поля атрибутов пользователя

В этом разделе вы должны ввести имена атрибутов, которые вы планируете отправлять при обмене SAML. Единственное обязательное поле - это адрес электронной почты, но мы настоятельно рекомендуем включить поле имени, фамилии и имени пользователя, чтобы заполнить профиль пользователя в Qualtrics.Поля «Тип пользователя», «Подразделение» и «Группа» - это необязательные поля, которые можно использовать для сопоставления ролей.

Все имена атрибутов чувствительны к регистру и должны быть написаны точно так же, как они указаны в разделе «Атрибуты» вашего ответа SAML. Qualtrics не может пройти аутентификацию вне поля «NameID» в вашем ответе SAML.

  • Поле электронной почты: Имя поля, содержащего электронные письма пользователей. Это поле обязательно к заполнению.
  • Поле имени пользователя: Поле, содержащее имена пользователей, если вы хотите, чтобы они отличались от адресов электронной почты.Это поле является необязательным и будет использоваться по умолчанию как поле электронной почты, если ничего не указано.

    Qtip: Лучше всего использовать уникальное неизменяемое поле для имени пользователя. Это может быть адрес электронной почты или уникальный идентификатор, например идентификатор сотрудника.

  • Поле имени: Имена пользователей. По умолчанию используется электронная почта, если ничего не указано.
  • Поле фамилии: Фамилии пользователей. Если ничего не указано, по умолчанию используется электронная почта.
  • Поле типа пользователя: Вы можете захотеть, чтобы пользователи были привязаны к определенному типу пользователей, как только они впервые войдут в Qualtrics.См. Раздел «Назначение разрешений пользователям» для получения дополнительной информации.
  • Поле подразделения: Вы можете захотеть, чтобы пользователи были назначены в определенное подразделение, как только они впервые войдут в Qualtrics. См. Раздел «Назначение разрешений пользователям» для получения дополнительной информации.
  • Поле группы: Вы можете захотеть, чтобы пользователи были включены в определенную группу, как только они впервые войдут в Qualtrics. Если это поле оставить пустым, пользователи не будут распределяться по группам. См. Раздел «Назначение разрешений пользователям» для получения дополнительной информации.
  • Включить Обновлять атрибуты пользователя при каждом входе в систему Установите переключатель , если вы хотите, чтобы атрибуты пользователя обновлялись каждый раз при входе в систему. Qualtrics обновит свои пользовательские атрибуты до значения, предоставленного поставщиком удостоверений при входе в систему.

После ввода этих имен атрибутов вы можете настроить остальную часть сопоставления в следующем разделе «Параметры сопоставления».

Qtip: Имя атрибута может даже отображаться как URL. Обычно это происходит с ADFS и IdP Azure и может выглядеть так:

  http: // схемы.xmlsoap.org/ws/2005/05/identity/claims/emailaddress  

Убедитесь, что вы проверили ответ SAML, чтобы узнать, как указан атрибут.

Параметры отображения

Если вы выбрали установку типов пользователей, групп или подразделений, вам нужно будет сопоставить значения атрибутов с существующими полями в Qualtrics. Вы должны указать, какие значения соответствуют типам пользователей, группам или подразделениям в Qualtrics.

В поле «Значение поставщика удостоверений» введите значение, указанное в ответе SAML.В разделе «Значение Qualtrics» выберите соответствующий тип, группу или подразделение. Затем щелкните Добавить сопоставление . Вам нужно будет выполнить эти шаги для каждого значения, определенного вашим поставщиком удостоверений.

Пример: У моего IdP есть атрибут «Роль», который определяет, является ли пользователь сотрудником или студентом моего университета. «Роль» передает значение «Студент», когда тип пользователя Qualtrics должен быть установлен на Участник. «Роль» передает значение «Персонал», когда тип пользователя Qualtrics должен быть установлен на стандартную учетную запись.

Чтобы ограничить доступ к платформе только сопоставленным типам пользователей, вы можете выбрать «Проверить тип пользователя». Это означает, что каждый раз, когда пользователь пытается войти в Qualtrics через SSO, система оценивает значения, переданные для атрибута, чтобы гарантировать, что хотя бы одно значение учтено в условиях сопоставления типа пользователя.

Если вы решите не отображать типы пользователей, подразделения или группы, всем пользователям будет назначен тип пользователя с самостоятельной регистрацией по умолчанию, выбранный на вкладке «Администратор» в разделе «Типы пользователей».

Параметры инициализации пользователей

  • Своевременная подготовка: Если пользователь не существует в Qualtrics и успешно входит в систему через систему единого входа с утвержденным доменом электронной почты, создайте нового пользователя.
  • Уведомить администраторов о создании пользователя : Уведомить определенных администраторов, когда пользователь будет создан под их брендом Qualtrics. Вы можете указать, кто будет получать это уведомление, в разделе «Уведомление по электронной почте для самостоятельной регистрации».
  • Действительные домены электронной почты: Введите домены электронной почты, которые можно использовать для регистрации в учетной записи Qualtrics в соответствии с вашей лицензией.По умолчанию используется звездочка ( * ), означающая, что для регистрации можно использовать любые домены. Разделите несколько доменов запятыми. Qtip: Этот список влияет только на регистрацию SSO. Это не влияет на другие действующие домены электронной почты, сохраненные в настройках бренда.

Параметры миграции пользователей

После тестирования и включения нового SSO-соединения вам может потребоваться обновить имена всех существующих пользователей в вашей лицензии. Когда пользователи входят в систему через систему единого входа, Qualtrics проверяет, есть ли у них существующая учетная запись, используя атрибут, указанный вами в поле «Имя пользователя».Чтобы гарантировать, что вход в систему единого входа совпадает с соответствующей существующей учетной записью пользователя, имя пользователя, указанное на вкладке "Администратор", должно иметь следующий формат.

  Value_of_Username_field_attribute # organizationID  
Пример: Идентификатор организации для моей лицензии Qualtrics - «testbrand», а поле имени пользователя, которое я указал, - «Идентификатор сотрудника». Мой «Идентификатор сотрудника» - «123456», поэтому мое имя пользователя в Qualtrics должно быть «123456 # testbrand».

Qtip: #OrganizationID не нужно отправлять в утверждении SAML.Это будет отображаться только в приложении Qualtrics.

Вы можете обновить имена пользователей до этого формата, используя любой из пяти следующих способов:

Метод 1. Добавление #OrganizationID к существующим именам пользователей

Если вам нужно только добавить #organizationID в конец имен существующих пользователей, вы можете включить опцию Изменить существующее имя пользователя при входе в систему . Когда пользователь входит в систему через систему единого входа в первый раз, #organizationID будет автоматически добавлен в конец его имени пользователя.

Qtip: Настоятельно рекомендуется включить эту опцию.

Метод 2: Своевременная подготовка

Если у вас включена своевременная подготовка в разделе «Параметры подготовки пользователей», вы можете выбрать вариант « Объединить с существующим пользователем при входе в систему ». Если верно следующее, пользователю будет предложен следующий экран:

  • В бренде еще нет учетной записи, имя пользователя которой соответствует значению имени пользователя системы единого входа для пользователя.
  • Пользователь входит в систему в первый раз после включения системы единого входа для бренда.

  1. Пользователь должен выбрать Да, у меня есть уже существующая учетная запись , если у них уже есть учетная запись Qualtrics внутри бренда. Затем пользователь должен ввести учетные данные своей учетной записи Qualtrics и щелкнуть Проверить учетную запись . Это обновит их существующее имя пользователя учетной записи Qualtrics, чтобы оно соответствовало значению имени пользователя SSO, переданному при входе в систему. Пользователь не увидит этот экран при движении вперед:
  2. Пользователь должен выбрать Нет, у меня нет существующей учетной записи , если у него еще нет учетной записи Qualtrics внутри бренда.Затем пользователь должен щелкнуть Войти при появлении запроса. Это создаст учетную запись Qualtrics со значением имени пользователя для системы единого входа, переданным при входе в систему. Пользователь не увидит, как этот экран движется вперед.

Предупреждение : этот метод требует ввода данных пользователем, что может привести к ошибке пользователя.

Метод 3: небольшое количество пользователей

Если у вас небольшое количество существующих пользователей, вы можете обновить имена пользователей вручную на странице администратора.

Метод 4: большое количество пользователей

Если у вас много существующих пользователей и для вашей лицензии включен API, вы можете использовать наш общедоступный API для обновления имен пользователей.

Метод 5: Лицензия на опыт сотрудника

Если вы используете платформу Employee Experience, вы можете обновить имена пользователей с помощью функции загрузки файлов.

Предупреждение: Если вы не обновите имена пользователей существующих пользователей, могут быть созданы дублирующиеся учетные записи и / или пользователи могут потерять доступ к платформе.

Атрибуты приборной панели

Если ваша лицензия включает CX Dashboards или любой из наших продуктов для взаимодействия с сотрудниками, вы можете передавать дополнительные атрибуты, помимо тех, которые определены в разделе «Пользовательские атрибуты».Для CX Dashboards эти дополнительные атрибуты можно использовать для автоматического назначения ролей пользователям при аутентификации SSO. Для наших продуктов Employee Experience вы сможете получить только один дополнительный атрибут, называемый уникальным идентификатором. Это поле является обязательным для всех участников и может быть назначено с помощью аутентификации SSO или с помощью функции загрузки файлов.

Чтобы добавить дополнительные атрибуты, включите Захват дополнительных атрибутов для панелей мониторинга .

После включения этого параметра вы должны ввести имена атрибутов, которые вы хотите записать, в точности так, как они указаны в разделе «Заявление об атрибуте» вашего ответа SAML.

Применение и отмена изменений

Чтобы сохранить изменения, нажмите Применить .

Qtip: Эта кнопка может быть недоступна, если есть какие-либо ошибки в заполненных вами полях. Вам нужно будет решить эти проблемы, прежде чем вы сможете применить изменения.

Если вы хотите вернуть изменения, сделанные на экране, к последней сохраненной версии, а не применять их, щелкните Вернуть .

Включение и отключение подключений SSO

Qtip: Вы можете добавить до пяти подключений одновременно, но можно включить только , одно SSO-соединение.

Когда вы впервые добавляете соединение, оно по умолчанию будет отключено. Включение SSO-соединения означает, что SSO-вход теперь активен на вашей лицензии для всей вашей пользовательской базы.

Предупреждение: Перед тем, как включить соединение, , убедитесь, что вы полностью реализовали соединение и проверили логин .

Вы также увидите соединение с меткой Qualtrics Login для [ID вашей организации] . Отключение этого подключения потребует от всех пользователей входа в систему через систему единого входа и отключит возможность входа пользователей с их именем пользователя и паролем Qualtrics.Вы можете включить это соединение и дополнительное соединение SSO одновременно.

Qtip: Если вы работаете с внешним консультантом, у которого нет учетных данных SSO в вашей организации, вам, скорее всего, потребуется включить эту опцию.

Предупреждение: Отключение соединения приведет к отключению входа в систему для всей вашей пользовательской базы. После отключения SSO-соединения пользователям необходимо будет войти в систему, используя отдельные имя пользователя и пароль Qualtrics. При отключении или включении соединения помните, как это повлияет на вашу пользовательскую базу .

URL-адрес вашей организации (https://OrganizationID.qualtrics.com) теперь будет перенаправлять на вход SSO, инициированный SP. Пользовательский опыт будет одним из двух следующих сценариев:

Пользовательский опыт, если вы разрешаете вход только через систему единого входа

Если вы разрешаете только SSO-входы , , пользователь перейдет на свой URL-адрес организации и будет автоматически перенаправлен через ваш поток аутентификации SSO.

Qtip: Пользователь может увидеть вашу страницу входа в систему SSO, если в настоящее время у него нет активного сеанса SSO.Пользователь может автоматически войти на платформу, если у него в настоящее время есть активный сеанс единого входа.

Взаимодействие с пользователем, если вы разрешаете как SSO, так и учетные данные Qualtrics

Если вы разрешаете пользователям входить в систему либо с помощью системы единого входа, либо с учетными данными Qualtrics, у вас будет возможность перенаправить пользователя на целевую страницу с двумя доступными вариантами. Пользователь выберет Login with Qualtrics для перенаправления на страницу входа Qualtrics. Пользователь выберет Login with SSO для перенаправления на вашу страницу входа SSO.

Чтобы активировать эту целевую страницу:

  1. Найдите соединение с именем Qualtrics Login для [ID вашей организации] .
  2. Выберите Изменить .
  3. Выберите вариант с надписью Разрешить соединение по URL-адресу организации .

Если вы не выберете эту опцию, ваш организационный URL будет перенаправлен на ваш поток аутентификации SSO. Пользователи, выбравшие вход без единого входа, будут использовать одну из следующих ссылок:

Qtip: Если для вашей организации настроен персональный URL, он заменит ваш фирменный URL.

Настройка учетных записей SAML - Справка ArcGIS Online

Настройка учетных записей для конкретных организаций, таких как учетные записи SAML (ранее известные как корпоративные учетные записи), позволяет членам вашей организации входить в ArcGIS Online, используя те же учетные записи, которые они используют для доступа к вашей организации. внутренние системы. Преимущество настройки учетных записей для конкретных организаций с использованием этого подхода заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online; вместо этого они могут использовать логин, который уже настроен в организации.Когда участники входят в ArcGIS Online, они вводят свое имя пользователя и пароль для конкретной организации непосредственно в диспетчер входа в вашу организацию, также известный как поставщик удостоверений (IDP) вашей организации. После проверки учетных данных участника IDP сообщает ArcGIS Online о подтвержденной личности участника, который входит в систему.

ArcGIS Online поддерживает SAML 2.0 для настройки входа SAML. SAML - это открытый стандарт для безопасного обмена данными аутентификации и авторизации между IDP (вашей организацией) и поставщиком услуг (SP) - в этом случае ArcGIS Online соответствует SAML 2.0 и интегрируется с IDP, поддерживающими SAML 2.0.

Вы можете настроить страницу входа в ArcGIS Online так, чтобы отображалась только учетная запись SAML, или отображать вход SAML вместе с любыми из следующих параметров: вход в ArcGIS, вход в OpenID Connect (если настроен) и вход в социальные сети (если настроен) .

Чтобы убедиться, что ваши учетные записи SAML надежно настроены, ознакомьтесь с рекомендациями по обеспечению безопасности SAML.

В большинстве случаев организации настраивают свои учетные записи SAML с помощью одного IDP.Этот IDP проверяет подлинность пользователей, обращающихся к защищенным ресурсам, размещенным у нескольких поставщиков услуг. IDP и все поставщики услуг управляются одной и той же организацией.

Еще один способ аутентификации пользователей с использованием логинов SAML - настроить вашу организацию на использование федерации IDP на основе SAML. В федерации на основе SAML между несколькими организациями каждая членская организация продолжает использовать свой собственный IDP, но настраивает один или несколько своих SP для работы исключительно в рамках федерации.Чтобы получить доступ к защищенному ресурсу, совместно используемому в рамках федерации, пользователь аутентифицирует свою личность с помощью IDP своей домашней организации. После успешной аутентификации это подтвержденное удостоверение предоставляется поставщику услуг SP, на котором размещен защищенный ресурс. Затем SP предоставляет доступ к ресурсу после проверки прав доступа пользователя.

SAML вход в систему

ArcGIS Online поддерживает вход в систему SAML, инициированный SP, и вход в систему SAML, инициированный IDP. Опыт входа в систему отличается для каждого.

Вход в систему, инициированный SP

В случае входа в систему, инициированного SP, участники получают прямой доступ к своим веб-сайтам ArcGIS Online и видят варианты входа, используя свой логин SAML SP или свой логин ArcGIS. Если участник выбирает опцию SP, он перенаправляется на веб-страницу (известную как диспетчер входа в систему), где им предлагается ввести свое имя пользователя SAML и пароль. После проверки учетных данных участника IDP сообщает ArcGIS Online о подтвержденной личности участника, который входит в систему, и участник перенаправляется обратно на свой веб-сайт ArcGIS Online.

Если участник выбирает опцию ArcGIS, появляется страница входа в ArcGIS Online. Затем участник может ввести свое имя пользователя и пароль ArcGIS для доступа к веб-сайту.

Инициированные IDP имена

С входами, инициированными IDP, участники получают прямой доступ к диспетчеру входа в свою организацию и входят в систему со своей учетной записью. Когда участник отправляет информацию о своей учетной записи, IDP отправляет ответ SAML непосредственно в ArcGIS Online. Затем участник входит в систему и перенаправляется на свой веб-сайт ArcGIS Online, где он может немедленно получить доступ к ресурсам без повторного входа в организацию.

Возможность входа в систему с использованием учетной записи ArcGIS непосредственно из диспетчера входа недоступна для учетных записей IDP. Чтобы войти в ArcGIS Online с использованием учетных записей ArcGIS, участникам необходимо напрямую получить доступ к своим веб-сайтам ArcGIS Online.

IDP SAML

Следующие руководства демонстрируют, как использовать SAML-совместимые IDP с ArcGIS Online:

Настройка учетных записей SAML

Процесс настройки IDP в ArcGIS Online описан ниже. Прежде чем продолжить, рекомендуется связаться с администратором вашего IDP или федерации IDP для получения параметров, необходимых для настройки.Например, если ваша организация использует Microsoft Active Directory, ответственный за это администратор будет лицом, к которому следует обратиться для настройки или включения SAML на стороне IDP и получения необходимых параметров для конфигурации на стороне ArcGIS Online.

  1. Убедитесь, что вы вошли в систему как администратор вашей организации.
  2. Вверху сайта щелкните «Организация» и перейдите на вкладку «Параметры».
  3. Если вы планируете разрешить участникам автоматически присоединяться, сначала настройте параметры по умолчанию для новых участников.При необходимости вы можете изменить эти настройки для определенных участников после того, как они присоединились к организации.
    1. Нажмите кнопку «Новые параметры по умолчанию» сбоку страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите дополнительные лицензии, чтобы автоматически назначать участников, когда они присоединяются к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Если для организации включено кредитное бюджетирование, установите для каждого нового члена выделение кредита на указанное количество кредитов или без ограничения.
    6. Выберите, хотите ли вы разрешить доступ к Esri для новых участников.
  4. Щелкните Безопасность сбоку страницы.
  5. В разделе «Логины» щелкните «Новый вход SAML».
  6. В появившемся окне выберите один из следующих вариантов:
    • Один поставщик удостоверений - позволяет пользователям входить в систему, используя свои существующие учетные данные SAML, которыми управляет ваша организация. Это самая распространенная конфигурация.
    • Федерация поставщиков удостоверений - позволяет пользователям, принадлежащим к существующей межорганизационной федерации, такой как федерация SWITCHaai, входить в систему с учетными данными, поддерживаемыми федерацией.
  7. Нажмите Далее.
  8. Если вы выбрали Один поставщик удостоверений, выполните следующие действия:
    1. Введите название своей организации.
    2. Выберите, как участники с логинами SAML будут присоединяться к вашей организации ArcGIS Online: автоматически или через приглашение. Автоматическая опция позволяет участникам присоединиться к организации, войдя в систему со своим логином SAML. С опцией приглашения вы генерируете электронные приглашения через ArcGIS Online, которые включают инструкции о том, как присоединиться к организации.Если вы выберете автоматический вариант, вы все равно сможете приглашать участников присоединиться к организации или добавлять их напрямую, используя их SAML ID.
    3. Предоставьте ArcGIS Online информацию о метаданных вашего IDP.

    Сделайте это, указав источник, к которому ArcGIS Online будет обращаться для получения информации метаданных о IDP. Существует три возможных источника этой информации:

    • URL-адрес - введите URL-адрес, который возвращает информацию метаданных о IDP.
    • Файл. Загрузите файл, содержащий информацию о метаданных IDP.
    • Параметры, указанные здесь - непосредственно введите информацию метаданных о IDP, указав следующие параметры:
      • URL-адрес входа (перенаправление) - введите URL-адрес IDP (который поддерживает привязку перенаправления HTTP), который ArcGIS Online должен использовать, чтобы позволить участнику подписать in.
      • URL-адрес входа (POST) - введите URL-адрес IDP (который поддерживает привязку HTTP POST), который ArcGIS Online должен использовать, чтобы разрешить пользователю вход в систему.
      • Сертификат - укажите сертификат, закодированный в формате BASE 64, для IDP.Это сертификат, который позволяет ArcGIS Online проверять цифровую подпись в ответах SAML, отправленных ему от IDP.

    Обратитесь к администратору IDP, если вам нужна помощь в определении того, какой источник информации метаданных вам необходимо предоставить.

  9. Если вы выбрали Федерацию поставщиков удостоверений, выполните следующие действия:
    1. Введите имя своей федерации.
    2. Выберите, как участники с логинами SAML будут присоединяться к вашей организации ArcGIS Online: автоматически или через приглашение.Автоматическая опция позволяет участникам присоединиться к организации, войдя в систему со своим логином SAML. С опцией приглашения вы генерируете электронные приглашения через ArcGIS Online, которые включают инструкции о том, как присоединиться к организации. Если вы выберете автоматический вариант, вы все равно сможете приглашать участников присоединиться к организации или добавлять их напрямую, используя их SAML ID.
    3. Введите URL-адрес централизованной службы обнаружения IDP, размещенной в федерации, например https: //wayf.samplefederation.com / WAYF.
    4. Введите URL-адрес метаданных федерации, которые представляют собой совокупность метаданных всех IDP и SP, участвующих в федерации.
    5. Скопируйте и вставьте сертификат, закодированный в формате Base64, который позволяет организации проверить действительность метаданных федерации.
  10. Щелкните Показать дополнительные параметры, чтобы настроить следующие дополнительные параметры, если это применимо:
    • Зашифровать подтверждение - включите этот параметр, чтобы указать SAML IDP, что ArcGIS Online поддерживает зашифрованные ответы подтверждения SAML.Когда этот параметр включен, IDP шифрует раздел утверждения ответа SAML. Весь трафик SAML в ArcGIS Online и обратно уже зашифрован с использованием HTTPS, но этот параметр добавляет еще один уровень шифрования.
    • Включить подписанный запрос - включите этот параметр, чтобы ArcGIS Online подписывал запрос аутентификации SAML, отправленный поставщику услуг Интернета. Подписание первоначального запроса на вход, отправленного ArcGIS Online, позволяет IDP проверять, что все запросы на вход исходят от доверенного SP.
    • Распространить выход из системы поставщику удостоверений - включите этот параметр, чтобы ArcGIS Online использовал URL-адрес выхода для выхода пользователя из IDP.Введите URL-адрес для использования в настройках URL-адреса для выхода. Если IDP требует, чтобы URL-адрес выхода был подписан, необходимо также включить параметр «Включить подписанный запрос». Если этот параметр недоступен, нажатие кнопки «Выйти» в ArcGIS Online приведет к выходу пользователя из ArcGIS Online, но не из IDP. Если кеш веб-браузера пользователя не очищен, попытка немедленно снова войти в ArcGIS Online с использованием параметра входа SAML приведет к немедленному входу в систему без необходимости предоставления учетных данных пользователя SAML IDP.Это уязвимость системы безопасности, которая может быть использована при использовании компьютера, который легко доступен неавторизованным пользователям или широкой публике.
    • Обновлять профили при входе - включите эту опцию, чтобы автоматически синхронизировать информацию об учетной записи (полное имя и адрес электронной почты), хранящуюся в профилях пользователей ArcGIS Online, с последней информацией об учетной записи, полученной от IDP. Включение этой опции позволяет вашей организации проверять, когда пользователь входит в систему с помощью входа SAML, изменилась ли информация IDP с момента создания учетной записи, и если да, то соответствующим образом обновить профиль учетной записи пользователя ArcGIS Online.
    • Включить членство в группах на основе SAML - включите этот параметр, чтобы разрешить членам организации связывать указанные группы на основе SAML с группами ArcGIS Online во время процесса создания группы. Если вы включите эту опцию, члены организации, имеющие право связываться с группами SAML, будут иметь возможность создать группу ArcGIS Online, членство в которой контролируется группой SAML, управляемой внешним SAML IDP. После успешного связывания группы с внешней группой на основе SAML членство каждого пользователя в группе определяется в ответе на подтверждение SAML, получаемом от IDP каждый раз, когда пользователь входит в систему.

      Чтобы группа ArcGIS Online была успешно связана с внешней группой SAML, создатель группы должен ввести точное значение внешней группы SAML, возвращаемое в значении атрибута утверждения SAML. Просмотрите ответ утверждения SAML от вашего SAML IDP, чтобы определить значение, используемое для ссылки на группу. Поддерживаемые (без учета регистра) имена для атрибута, определяющего членство пользователя в группе, следующие:

      • Группа
      • Группы
      • Роль
      • Роли
      • MemberOf
      • member-of
      • https: // wso2.com / Claims / role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn: oid: 1.3 .6.1.4.1.5923.1.5.1.1
      • urn: oid: 2.16.840.1.113719.1.1.4.1.25

      Например, предположим, что входящий в систему пользователь является членом групп SAML FullTimeEmployees и GIS Faculty. В утверждении SAML, полученном от IDP, как показано ниже, именем атрибута, содержащего информацию о группе, является MemberOf. В этом примере для создания группы, связанной с группой SAML GIS Faculty, создатель группы должен ввести GIS Faculty в качестве имени группы.

        
        ...
        ...
        
            ...
            ...
            
              ...
              ...
              
         FullTimeEmployees 
       Факультет ГИС 
              
          
        
        

      Ниже приведен еще один пример использования значений идентификатора для идентификации групп:

        
        ...
        ...
        
            ...
            ...
            
              ...
              ...
              
         GIDff63a68d51325b53153eeedd78cc498b 
       GIDba5debd8d2f9bb7baf015af7b2c25440 
              
          
        
        

    • URL-адрес выхода. Если на предыдущем шаге вы выбрали «Один поставщик удостоверений», введите URL-адрес IDP, который будет использоваться для выхода текущего пользователя, вошедшего в систему.Если это свойство указано в файле метаданных IDP, оно устанавливается автоматически.
    • Идентификатор объекта - обновите это значение, чтобы использовать новый идентификатор объекта, чтобы однозначно идентифицировать вашу организацию ArcGIS Online для SAML IDP или федерации SAML.
  11. По завершении щелкните Сохранить.
  12. Для завершения процесса настройки установите доверительные отношения со службой обнаружения федерации (если применимо) и вашим IDP, зарегистрировав у них метаданные ArcGIS Online SP. Там получить эти метаданные можно двумя способами:
    • Щелкните Загрузить метаданные поставщика услуг, чтобы загрузить файл метаданных для вашей организации.
    • Откройте URL-адрес файла метаданных и сохраните его как файл XML на своем компьютере. Вы можете просмотреть и скопировать URL-адрес в окне «Изменить вход SAML» в разделе «Ссылка», чтобы загрузить метаданные поставщика услуг.

    Ссылки на инструкции по регистрации Метаданные SP от сертифицированных поставщиков доступно в разделе SAML IDP выше. Если вы выбрали Федерацию поставщиков удостоверений, после загрузки метаданных SP обратитесь к администраторам федерации SAML для получения инструкций о том, как интегрировать метаданные SP в агрегированный файл метаданных федерации.Вам также потребуются инструкции от них, чтобы зарегистрировать вашего IDP в федерации.

Измените или удалите SAML IDP

Когда вы настроили SAML IDP, вы можете обновить его настройки, нажав Настроить вход рядом с текущим зарегистрированным IDPSAML. Обновите свои настройки в окне «Редактировать вход SAML».

Чтобы удалить зарегистрированного в настоящее время IDP, нажмите «Настроить логин» рядом с IDP и нажмите «Удалить логин» в окне «Редактировать вход SAML». После удаления IDP вы можете при желании создать нового IDP или федерацию IDP.

Рекомендации по безопасности SAML

Чтобы включить входы SAML, вы можете настроить ArcGIS Online в качестве поставщика услуг (SP) для вашего поставщика удостоверений SAML (IDP). Чтобы обеспечить надежную безопасность, примите во внимание следующие передовые практики.

Поставьте цифровую подпись для запросов входа и выхода SAML и подпишите ответ с подтверждением SAML

Подписи используются для обеспечения целостности сообщений SAML и, таким образом, служат защитой от атак типа «злоумышленник в середине» (MITM).Цифровая подпись запроса SAML также гарантирует, что запрос будет отправлен доверенным SP, что позволяет IDP лучше справляться с атаками типа «отказ в обслуживании» (DOS). Включите параметр «Включить подписанный запрос» в дополнительных настройках при настройке учетных записей SAML.

Для включения подписанных запросов требуется, чтобы IDP обновлялся всякий раз, когда сертификат подписи, используемый SP, обновляется или заменяется.

Настройте SAML IDP для подписи ответа SAML, чтобы предотвратить изменение ответа подтверждения SAML при передаче.

Для включения подписанных запросов требуется, чтобы SP (ArcGIS Online) обновлялся всякий раз, когда сертификат подписи, используемый IDP, обновляется или заменяется.

Использовать конечную точку HTTPS IDP

Любая связь между поставщиком услуг SP, IDP и браузером пользователя, передаваемая через внутреннюю сеть или Интернет в незашифрованном формате, может быть перехвачена злоумышленником. Если ваш SAML IDP поддерживает HTTPS, рекомендуется использовать конечную точку HTTPS для обеспечения конфиденциальности данных, передаваемых во время входа в систему SAML.

Зашифровать ответ подтверждения SAML

Использование HTTPS для связи SAML обеспечивает защиту сообщений SAML, отправляемых между IDP и SP. Однако вошедшие в систему пользователи по-прежнему могут декодировать и просматривать сообщения SAML через веб-браузер. Включение шифрования ответа с подтверждением не позволяет пользователям просматривать конфиденциальную или конфиденциальную информацию, передаваемую между IDP и SP.

Для включения зашифрованных утверждений требуется, чтобы IDP обновлялся каждый раз при обновлении или замене сертификата шифрования, используемого SP (ArcGIS Online).

Безопасное управление сертификатами подписи и шифрования

Рекомендуется использовать сертификаты с надежными криптографическими ключами для цифровой подписи или шифрования сообщений SAML, а также обновлять или заменять сертификаты каждые три-пять лет.


Отзыв по этой теме?

Как DMARC работает с субдоменами (тег DMARC sp)?

В этой статье мы рассмотрим менее обсуждаемую тему DMARC: как DMARC работает в сценариях поддоменов?

В частности, мы ответим на эти вопросы ниже:

  • как работает обнаружение политики DMARC?
  • как работает наследование политик DMARC?
  • следует ли использовать тег sp для защиты поддоменов?

Прежде чем углубляться в различные сценарии поддоменов DMARC, нам необходимо представить концепцию организационной области.

Что такое домен организации в DMARC?

Организационный домен - это «корневой домен / домен верхнего уровня» доменного имени. То есть доменное имя со всеми удаленными поддоменами. Ниже приведены несколько доменных имен и их организационные домены:

Доменное имя Организационный домен
example.com example.com
sales.example.com пример.com
mail.sales.example.com example.com
sales.example.co.us example.co.us

Организационный домен определяется путем разбиения имени домена субъекта с последующим сопоставлением частей с общедоступным списком суффиксов (PSL), содержащим домены верхнего уровня (TLD), включая TLD страны, например, ".co.us" в США и ".co.uk" в Великобритании

Вот PSL, поддерживаемый Mozilla Foundation.

Как работает обнаружение политик DMARC

Когда сообщение электронной почты приходит на принимающий сервер, ему необходимо применить DMARC к сообщению электронной почты.Для этого сервер пытается найти политику DMARC с помощью процесса, известного как обнаружение политики DMARC.

При обнаружении политики

DMARC выполняются следующие шаги, чтобы найти политику DMARC для входящего сообщения электронной почты:

  1. Определите домен RFC5322.From сообщения электронной почты;
  2. Запросить в DNS запись DMARC в RFC5322 из домена , найденного на шаге 1; в зависимости от результата:
    • если найдена только 1 запись DMARC, возвращается политика в записи;
    • : если обнаружено несколько записей DMARC, обнаружение политики прекращается и обработка DMARC не применяется к этому сообщению;
    • , если запись DMARC не найдена, перейдите к шагу 3;
  3. Запросить в DNS запись DMARC в домене организации RFC5322.Из домена, если 2 домена разные; в зависимости от результата:
    • если найдена только 1 запись DMARC, возвращается политика в записи;
    • , если запись DMARC не найдена или обнаружено несколько записей DMARC, обнаружение политики прекращается и обработка DMARC не применяется к этому сообщению;
  4. Если полученная политика не содержит допустимого тега p:
    • если присутствует тег rua, по крайней мере, с одним действующим URI отчета, принимающий сервер применяет к сообщению p = none;
    • в противном случае обнаружение политики прекращается и обработка DMARC к этому сообщению не применяется;

Обратите внимание, что в каждом процессе обнаружения политики DMARC выдается не более 2 DNS-запросов.Один для домена RFC5322.From, а другой для домена организации (если он отличается от домена RFC5322.From).

Если у вас есть несколько уровней поддоменов, запросы DNS для промежуточных поддоменов не отправляются. Это необходимо для уменьшения нагрузки на DNS из-за множественных DNS-запросов на поддоменах.

Например, если доменом RFC5322.From является it.sales.example.com, для it.sales.example.com будет выдан только 1 запрос DNS и, возможно, 1 запрос DNS, например.com. Для sales.example.com не будет выдан DNS-запрос, так как это промежуточный субдомен.

Как работает наследование политик DMARC

Механизм наследования политик DMARC позволяет владельцам доменов гибко настраивать политики DMARC для поддоменов.

Правила наследования политики DMARC работают, как показано ниже.

Сценарий: субдомен наследует политику p домена организации

Если в домене организации есть запись DMARC с политикой (тег p), но нет политики субдомена (тег sp), в то время как субдомен не имеет записи DMARC, субдомен наследует политику p домена организации.

Например, если на сайте example.com опубликована запись DMARC, как показано ниже:

  example.com "v = DMARC1; p = reject;"  

Теперь, когда политика example.com отклонена, любой субдомен example.com без записи DMARC будет иметь политику отклонения.

Сценарий: субдомен наследует политику SP домена организации

Если домен организации имеет запись DMARC с политикой (тег p) и политику субдомена (тег sp), в то время как субдомен не имеет записи DMARC, субдомен наследует политику субдомена домена организации.

Например, если на сайте example.com опубликована запись DMARC, как показано ниже:

  example.com "v = DMARC1; p = reject; sp = quarantine;"  

Поскольку политика sp example.com явно настроена на карантин, любой субдомен example.com без записи DMARC будет иметь политику карантина.

Сценарий: субдомен переопределяет политику домена организации

Если домен организации имеет запись DMARC с политикой (тег p) и политику субдомена (тег sp), в то время как субдомен имеет свою собственную политику (тег p), субдомен переопределяет политику субдомена домена организации своей собственной политикой.

Например, если на сайте example.com опубликована запись DMARC, как показано ниже:

  example.com "v = DMARC1; p = reject; sp = reject;"  

и запись DMARC, опубликованная на sales.example.com:

  sales.example.com "v = DMARC1; p = quarantine;"  

В этом сценарии собственная политика sales.example.com переопределяет политику example.com. Следовательно, к sales.example.com применяется p = quarantine.

Сценарий: политика субдомена опубликована на субдомене

Когда тег sp используется в записи DMARC, опубликованной в поддомене, тег sp будет проигнорирован из-за эффекта процесса обнаружения политики DMARC.

Например, если у вас есть запись DMARC на поддомене:

  sales.example.com "v = DMARC1; p = reject; sp = quarantine;"  

тег sp не влияет на sales.example.com или любые поддомены в sales.example.com, такие как it.sales.example.com.

Лучшие практики для DMARC с поддоменами

После достижения p = reject в домене организации следует также защитить свои поддомены с помощью p = reject. Это связано с тем, что даже если политика DMARC ваших поддоменов p = none или p = quarantine, злоумышленники все равно могут отправлять электронные письма от имени ваших поддоменов.

Этого можно легко достичь, установив политику домена вашей организации на p = reject и не переопределяя ее на каких-либо поддоменах. Таким образом, все поддомены в домене вашей организации будут иметь p = reject, и никто без явной авторизации не сможет отправлять электронные письма от имени вашей организации!

Похожие сообщения:

.

Добавить комментарий

Ваш адрес email не будет опубликован.