N8n: Полное руководство по входу в систему и управлению доступом
N8n (произносится как «нэйт-эн») — это мощный инструмент автоматизации рабочих процессов с открытым исходным кодом, использующий парадигму workflow-as-code. В отличие от многих облачных сервисов, n8n предлагает гибкие варианты развертывания: облачный хостинг от создателей и самостоятельное размещение на собственном сервере. Процесс входа в систему и управления доступом напрямую зависит от выбранного способа установки, что является ключевой особенностью платформы.
Варианты развертывания n8n и соответствующие методы входа
Существует два принципиально разных способа использования n8n, которые определяют механизм аутентификации.
1. N8n Cloud (Облачная версия)
Это управляемый сервис, размещенный на инфраструктуре компании n8n. Пользователи регистрируют учетную запись и получают доступ через централизованный веб-интерфейс.
- Способ входа: Посредством электронной почты и пароля на странице
https://app.n8n.cloud/login. - Восстановление доступа: Стандартная процедура восстановления пароля через email. Возможна настройка двухфакторной аутентификации (2FA) для повышения безопасности.
- Управление доступом: Владелец учетной записи может приглашать членов команды, назначая им роли (Owner, Admin, Member) с разным уровнем прав.
- Базовая аутентификация: Самый простой метод. Учетные данные задаются через переменные окружения при запуске n8n.
- Аутентификация через внешние сервисы: n8n поддерживает OAuth2, SAML, LDAP. Это позволяет интегрировать вход с корпоративными системами (Google Workspace, Okta, Keycloak и др.).
- Отсутствие аутентификации (не рекомендуется): В целях разработки или в полностью изолированных сетях n8n можно запустить без проверки подлинности, установив переменную окружения
N8N_BASIC_AUTH_ACTIVE=false. - Установите следующие переменные окружения перед запуском n8n (в файле
.envили в командной строке Docker): - Вход для владельца: Используйте email и пароль, заданные при первой настройке, на странице
/loginвашего инстанса n8n. - Приглашение пользователей: Владелец может пригласить новых пользователей через раздел Settings > User Management. Приглашение отправляется по email.
- Роли пользователей:
- Owner: Полный доступ ко всем настройкам, рабочим процессам и управлению пользователями.
- Admin: Может управлять рабочими процессами, настройками исполнения, но не имеет доступа к управлению пользователями.
- Member: Может создавать и выполнять рабочие процессы, но не может изменять глобальные настройки инстанса.
- OAuth 2.0: n8n может быть настроен как клиент OAuth 2.0 для провайдеров вроде Google, GitHub, GitLab, Keycloak. Пользователи входят через окно авторизации провайдера.
- SAML: Поддержка SAML 2.0 позволяет интегрироваться с корпоративными IDP, такими как Okta, Azure AD, OneLogin. Требует дополнительной настройки через переменные окружения, начинающиеся с
N8N_SAML_. - LDAP/Active Directory: Прямая интеграция позволяет проверять учетные данные против корпоративного каталога. Настраивается через соответствующие переменные окружения
N8N_LDAP_.
2. Self-Hosted n8n (Самостоятельное размещение)
Пользователь устанавливает и запускает n8n на своем собственном сервере, виртуальной машине или в контейнере Docker. Это наиболее распространенный и гибкий вариант, требующий настройки аутентификации.
Детальная инструкция по входу в саморазмещенный n8n
Для саморазмещенной версии настройка входа является обязательным шагом после установки. Рассмотрим основные методы.
Настройка базовой аутентификации (Basic Auth)
Это стандартный метод, используемый по умолчанию при первом запуске с активированной аутентификацией.
| Переменная окружения | Значение | Описание |
|---|---|---|
N8N_BASIC_AUTH_ACTIVE |
true |
Включает базовую аутентификацию. |
N8N_BASIC_AUTH_USER |
your_email@example.com |
Имя пользователя (обычно email) для входа. |
N8N_BASIC_AUTH_PASSWORD |
your_secure_password |
Пароль. Должен быть надежным. |
После запуска n8n откройте его IP-адрес или домен в браузере. Появится стандартное диалоговое окно браузера с запросом логина и пароля. Введите указанные учетные данные.
Настройка аутентификации через JWT (рекомендуется для продакшена)
Более безопасный и современный метод, использующий JSON Web Tokens.
| Переменная окружения | Описание |
|---|---|
N8N_USER_MANAGEMENT_JWT_SECRET |
Секретный ключ для подписи JWT-токенов. Должен быть длинной криптостойкой строкой. |
N8N_BASIC_AUTH_ACTIVE |
Должна быть установлена в true в дополнение к JWT. |
При первом посещении интерфейса n8n запросит создание учетной записи владельца (owner). После этого базовая аутентификация отключается для интерфейса, и все последующие сессии управляются через JWT, хранящийся в cookies браузера.
Управление пользователями и ролями в саморазмещенном n8n
После настройки JWT и создания первой учетной записи владельца становится доступна система управления пользователями.
Решение проблем со входом в n8n
Типичные проблемы и методы их устранения.
| Проблема | Возможная причина | Решение |
|---|---|---|
| Окно базовой аутентификации браузера появляется снова и снова. | Неверные учетные данные или проблема с кэшем браузера. | Убедитесь в правильности N8N_BASIC_AUTH_USER и N8N_BASIC_AUTH_PASSWORD. Очистите кэш браузера или попробуйте режим инкогнито. |
| После успешного входа происходит немедленный выход из системы. | Проблемы с конфигурацией JWT, особенно в кластерных развертываниях. | Убедитесь, что переменная N8N_USER_MANAGEMENT_JWT_SECRET идентична на всех нодах кластера. Проверьте настройки домена и протокола (HTTP/HTTPS). |
| Страница входа не отображается, доступ открыт всем. | Аутентификация отключена (N8N_BASIC_AUTH_ACTIVE=false). |
Активируйте базовую аутентификацию и перезапустите n8n. Для продакшн-среды это критически важно. |
| Не получается восстановить доступ к саморазмещенному инстансу (пароль утерян). | Отсутствие процедуры восстановления пароля по умолчанию в саморазмещенной версии. | Необходимо напрямую обновить запись в базе данных SQLite или Postgres с помощью SQL-запроса, обновив хэш пароля, либо временно отключить аутентификацию, чтобы создать нового пользователя. |
Интеграция с корпоративными системами аутентификации
Для организаций важно централизованное управление доступом (SSO — Single Sign-On).
Ответы на часто задаваемые вопросы (FAQ)
Как войти в n8n в первый раз после установки на свой сервер?
Если вы настроили базовую аутентификацию через переменные окружения, используйте логин и пароль из переменных N8N_BASIC_AUTH_USER и N8N_BASIC_AUTH_PASSWORD в диалоговом окне браузера. Если вы также настроили N8N_USER_MANAGEMENT_JWT_SECRET, после первой аутентификации система предложит создать учетную запись владельца, которая заменит базовый доступ.
Чем отличается вход в облачный n8n от саморазмещенного?
Облачный n8n использует единую точку входа (app.n8n.cloud) с управлением сессией на стороне сервиса. Саморазмещенный n8n полностью контролируется администратором сервера: метод входа (Basic Auth, JWT, OAuth, SAML), домен для входа и политики безопасности определяются самостоятельно.
Как пригласить другого пользователя в мой саморазмещенный n8n?
Войдите под учетной записью владельца (owner). Перейдите в раздел «Settings» (шестеренка), затем выберите «User Management». Нажмите «Invite users», введите email приглашаемого и выберите роль (Member, Admin). Приглашение будет отправлено по электронной почте.
Можно ли отключить вход и сделать n8n публично доступным?
Да, но это крайне не рекомендуется для любой среды, кроме изолированной тестовой. Для отключения установите переменную окружения N8N_BASIC_AUTH_ACTIVE=false и убедитесь, что JWT-аутентификация также не активна. Помните, что это откроет полный доступ к вашим данным и API всем, кто знает адрес инстанса.
Что делать, если я забыл пароль от саморазмещенного n8n?
Процедура восстановления не предусмотрена в интерфейсе из соображений безопасности. Администратор должен:
1. Остановить n8n.
2. В базе данных (например, SQLite) найти таблицу user и обновить поле password для вашего пользователя, сгенерировав новый bcrypt-хэш.
3. Запустить n8n и войти с новым паролем.
Альтернативно, можно временно отключить аутентификацию, войти, создать нового пользователя с правами владельца, а затем удалить или обновить старую учетную запись.
Как настроить вход через Google или другую социальную сеть?
Это реализуется через OAuth 2.0. Вам необходимо:
1. Зарегистрировать свое приложение (n8n) в консоли разработчика выбранного провайдера (Google, GitHub и т.д.).
2. Получить Client ID и Client Secret.
3. Настроить соответствующие переменные окружения в n8n (например, N8N_OAUTH_GOOGLE_CLIENT_ID, N8N_OAUTH_GOOGLE_CLIENT_SECRET).
4. Указать корректный callback URL (обычно https://your-n8n-domain.com/rest/oauth2-credential/callback).
После этого на странице входа появится кнопка «Sign in with Google».
Как обеспечить безопасный вход в n8n?
Следуйте рекомендациям:
1. Всегда используйте HTTPS для продакшн-инстансов.
2. Для саморазмещенной версии активируйте JWT-аутентификацию с длинным криптостойким секретом (N8N_USER_MANAGEMENT_JWT_SECRET).
3. Регулярно обновляйте n8n до последней версии.
4. Настройте надежные пароли или, что лучше, используйте SSO (OAuth/SAML) с обязательной двухфакторной аутентификацией на стороне провайдера.
5. Ограничьте доступ к порту, на котором работает n8n, с помощью брандмауэра или обратного прокси (например, Nginx).
Добавить комментарий