Настройка AD FS

Рассмотрим на примере использования "type":"saml" в модуле sso.

Сервер с развернутым AD FS для примера https://adfs.mycorp.com.
Приложение — https://editboard.mycorp.com.

Изменения в конфигурации приложения config.json

Необходимо добавить в "modules" новую секцию, например sso.

Создание файла ключа

Данный файл необходимо расположить в той же папке, что и config.json, например /conf/mycorp.cert
Чтобы получить содержимое файла необходимо посетить https://adfs.mycorp.com/federationmetadata/2007-06/federationmetadata.xml Его содержимое, должно совпадать с X509Certificate из federationmetadata.xml вашего сервера.

adfs_metadata

Примечание

В некоторых случаях X509Certificate может содержать более одного сертификата. Важно удостоверится, что содержимое файла ключа приложения корректно. Например, если вы сталкиваетесь с ошибкой Failed to read asymmetric key.

Добавление отношения доверия проверяющий стороны

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.
  2. В разделе «Действия» нажмите кнопку Добавить доверие проверяющей стороны.
  3. На странице приветствия выберите Claims aware (Поддерживающие утверждения) и нажмите кнопку Начало.
    adfs_3
  4. На странице Выберите источник данных щелкните Enter data about the relying party manually (Ввод данных о проверяющей стороне вручную), а затем нажмите кнопку Далее.
    adfs_4
  5. На странице Specify Display Name (Указание отображаемого имени) введите имя в поле Отображаемое имя. В поле Примечания введите описание для этого отношения доверия с проверяющей стороной и нажмите кнопку Далее.
    adfs_5
  6. На странице настройки сертификата, никаких действий не требуется, нажмите кнопку Далее.
    adfs_6
  7. На странице настройки URL-адреса включите поддержку протокола SAML 2.0 WebSSO, укажите URL https://<IPorHostname>/sso/callback и нажмите кнопку Далее.
    adfs_7
  8. На странице Настройка удостоверений укажите один идентификатор этой проверяющей стороны, а затем нажмите кнопку Далее.
    adfs_8
  9. На странице Choose Access Control Policy (Выбрать политику управления доступом) выберите политику Разрешение для каждого и нажмите кнопку Далее.
    adfs_9
  10. На странице Ready to Add Trust (Готовность для добавления отношения доверия) проверьте параметры и нажмите кнопку Далее, чтобы сохранить сведения об отношении доверия с проверяющей стороной.
    adfs_10
  11. На странице Готово нажмите кнопку Закрыть. После этого автоматически откроется диалоговое окно Изменение правил утверждений.
    adfs_11

Создание правила для отправки атрибутов LDAP в качестве утверждений для доверия проверяющей стороны

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.
  2. В дереве консоли в разделе AD FS щелкните Отношения доверия проверяющей стороной.
    adfs_2_2
  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду Изменить политику подачи запросов.
    adfs_2_3
  4. В диалоговом окне Изменить политику выдачи запросов в разделе Правила преобразования выдачи нажмите кнопку Добавить правило, чтобы запустить мастер правил.
    adfs_2_4
  5. На странице Выбор шаблона правила в разделе Правило утверждения выберите Отправить атрибуты LDAP в качестве утверждений в списке и нажмите кнопку Далее.
    adfs_2_5
  6. На странице Настройка правила в разделе Имя правила утверждения введите отображаемое имя для этого правила, выберите хранилище атрибутов, а затем выберите атрибут LDAP и сопоставите его с типом исходящего утверждения.
    adfs_2_6
  7. Нажмите кнопку Готово.

В диалоговом окне Изменение правил утверждений нажмите кнопку ОК, чтобы сохранить правило.

Параметры для конечной точки

adfs_2_2

Предыдущая
Добавление настройки SSO в конфигурацию приложения
Следующая
Настройка ClickHouse