Настройка интеграции с Microsoft Azure Active Directory
Интеграция предполагает двустороннюю связь между платформой ASAP и сервисом Azure AD. Настройка этой связи на стороне Active Directory выполняется в консоли администрирования Microsoft Azure и включает следующие этапы:
добавление платформы ASAP в список приложений, с которыми взаимодействуют сервисы Active Directory;
настройка параметров аутентификации по протоколу SAML.
На стороне платформы ASAP требуется указать URL-адрес сервиса Azure AD, идентификатор платформы в Azure AD и содержимое сертификата, используемого для шифрования соединений между платформой и Azure AD.
Чтобы настроить интеграцию с Microsoft Azure Active Directory, выполните следующие действия:
Войдите в консоль администрирования Microsoft Azure Active Directory под учетной записью администратора.
Добавьте программу Kaspersky Automated Security Awareness Platform в список приложений Active Directory. Для этого выполните следующие действия:
В левой панели выберите раздел Enterprise applications.
Нажмите на кнопку New application.
Откроется окно Browse Azure AD Gallery (Preview).
Нажмите на кнопку Create your own application.
Откроется окно Create your own application.
В поле What's the name of your app введите любое название, по которому вы сможете найти добавляемую программу в списке программ Active Directory.
Нажмите на кнопку Create.
Добавленная программа появится в рабочей области в разделе Enterprise applications. Откроется окно Overview.
В левой панели выберите раздел Single sign-on.
В рабочей области в качестве метода аутентификации выберите SAML.
Откроется страница SAML-based Sign-on.
В блоке параметров Basic SAML Configuration нажмите на кнопку Edit.
Откроется окно Basic SAML Configuration.
В поле Identifier укажите любое произвольное название, которое будет служить для сервиса Azure AD идентификатором платформы ASAP.
Скопируйте идентификатор, указанный на предыдущем шаге, и вставьте его в веб-интерфейсе платформы ASAP в разделе Настройка компании → SSO в поле Entity ID.
В консоли Azure AD в поле Reply URL укажите URL-адрес платформы ASAP (адрес службы обработчика утверждений ACS), по которому находится токен SAML.
Вы можете скопировать этот адрес в веб-интерфейсе ASAP в разделе Настройка компании → SSO → SSO Callback (ACS) URL с помощью кнопки .
В поле Sign on URL укажите URL-адрес, который пользователи будут использовать для аутентификации на обучающем портале.
Вы можете скопировать этот адрес в веб-интерфейсе ASAP в разделе Настройка компании → SSO → SSO Sign-in URL с помощью кнопки .
При вводе этого адреса в браузере пользователь будет перенаправлен в Azure AD для аутентификации с помощью учетной записи Microsoft.
В поле Logout Url укажите URL-адрес, который будет использоваться для отправки платформе ответов при завершении сеанса SAML.
Вы можете скопировать этот адрес в веб-интерфейсе ASAP в разделе Настройка компании → SSO → SSO Sign-out URL с помощью кнопки .
Нажмите на кнопку Save.
Если требуется, измените значения атрибутов учетной записи, передаваемые по протоколу SAML, в блоке User Attributes & Claims.
Не изменяйте атрибуты emailaddress и Unique User Identifier для корректной интеграции с платформой.
В блоке параметров SAML Signing Certificate скачайте сертификат для подписи токенов SAML, отправляемых платформе, в формате Base64.
Любым удобным способом (например, открыв файл сертификата в текстовом редакторе) скопируйте содержимое сертификата и вставьте его в веб-интерфейсе ASAP в разделе Настройка компании → SSO в поле Signing certificate.
В блоке параметров Set up <название программы в Azure AD> скопируйте URL-адрес сервиса Azure AD, указанный в поле Login URL, и вставьте его в веб-интерфейсе ASAP в разделе в разделе Настройка компании → SSO в поле Identity provider URL. Нажмите на кнопку Save.
Интеграция платформы ASAP с Microsoft Azure Active Directory будет настроена. Включите использование SSO в веб-интерфейсе ASAP, чтобы пользователи могли проходить аутентификацию на обучающем портале с помощью технологии единого входа.