Настройка интеграции с Active Directory Federation Services

Интеграция предполагает двустороннюю связь между платформой ASAP и сервисом AD FS. Настройка этой связи на стороне Active Directory выполняется в консоли AD FS и включает следующие этапы:

На стороне платформы ASAP требуется указать URL-адрес сервиса AD FS, идентификатор платформы в AD FS и содержимое сертификата провайдера идентификации, экспортированного из AD FS.

Чтобы настроить интеграцию платформы с Active Directory Federation Services:

Добавление отношения доверия

  1. В консоли управления AD FS в дереве папок нажмите правой кнопкой мыши на папку Relying Party Trust и в контекстном меню выберите пункт Add Relying Party Trust.

    Запустится мастер добавления отношений доверия проверяющей стороны.

  2. В окне приветствия выберите вариант Claims aware и нажмите на кнопку Next.

    ADFS1

    Вы перейдете к шагу Select Data Source.

  3. Выберите вариант Enter data about the relying party manually, чтобы ввести информацию о платформе ASAP вручную, и нажмите на кнопку Next.

    ADFS2

    Вы перейдете к шагу Specify Display Name.

  4. В поле Display name введите название, которое будет отображаться для платформы ASAP в консоли AD FS, и нажмите на кнопку Next.

    Если требуется, вы можете указать любую дополнительную информацию в поле Notes.

    ADFS3

    Вы перейдете к шагу Configure Certificate.

  5. Нажмите на кнопку Next.

    ADFS4

    Вы перейдете к шагу Configure URL.

  6. Установите флажок Enable support for the SAML 2.0 WebSSO protocol, чтобы включить поддержку протокола SAML.
  7. В поле Relying party SAML 2.0 SSO service URL введите URL-адрес службы SAML на сервере ASAP и нажмите на кнопку Next.

    Скопируйте этот адрес в веб-интерфейсе ASAP в разделе Настройка компанииSSOSSO Callback (ACS) URL с помощью кнопки copy.

    ADFS5

    Вы перейдете к шагу Configure Identifiers.

  8. Задайте идентификатор платформы ASAP в сервисе AD FS. Для этого выполните следующие действия:
    1. В поле Relying party trust identifier введите любое произвольное название, которое будет служить для сервиса AD FS идентификатором платформы ASAP.
    2. Нажмите на кнопку Add.

      ADFS6

      Добавленный идентификатор отобразится в поле Relying party trust identifiers.

      Запомните или запишите этот идентификатор, чтобы затем указать его в веб-интерфейсе платформы ASAP.

    3. Нажмите на кнопку Next.

      Вы перейдете к шагу Choose Access Control Policy.

  9. Выберите политику управления доступом в соответствии с требованиями безопасности вашей организации и нажмите на кнопку Next.

    ADFS7

    Вы перейдете к шагу Ready to Add Trust.

  10. Просмотрите заданные ранее параметры. Если все настроено верно, нажмите на кнопку Next.

    ADFS8

    Вы перейдете к шагу Finish.

  11. В завершающем окне мастера нажмите на кнопку Close.

    Мастер добавления отношений доверия закроется. Запись о платформе ASAP отобразится в списке Relying Party Trusts.

    ADFS9

Создание правил

  1. В консоли AD FS выберите запись о платформе ASAP в списке Relying Party Trusts и в правой панели Actions нажмите Edit Claim Issuance Policy, чтобы настроить правила для получения из AD FS данных о пользователе, необходимых для прохождения аутентификации.

    Откроется окно Edit Claim Issuance Policy for <название идентификатора>.

    Если в завершающем окне мастера добавления отношений доверия был установлен флажок Configure claims issuance policy for this application, это окно откроется автоматически.

    ADFS10

  2. Добавьте правило для получения из AD FS адреса электронной почты пользователя. Для этого выполните следующие действия:
    1. Нажмите на кнопку Add rule.

      Запустится мастер добавления правила на шаге Choose Rule Type.

    2. В раскрывающемся списке Claim rule template выберите шаблон Send LDAP Attributes as Claims и нажмите на кнопку Next.

      ADFS11

      Вы перейдете к шагу Configure Claim Rule.

    3. В поле Claim rule name введите название правила (например, Email).
    4. В таблице Mapping of LDAP attributes to outgoing claim types выберите E-Mail Addresses в графе LDAP Attribute и E-Mail Address в графе Outgoing Claim Type.

      ADFS12

    5. Нажмите на кнопку Finish.

    Мастер добавления правила закроется. Добавленное правило отобразится в окне Edit Claim Issuance Policy for <название идентификатора> на закладке Issuance Transform Rules.

    ADFS13

  3. Добавьте правило для получения из AD FS идентификатора пользователя на основе его адреса электронной почты. Для этого выполните следующие действия:
    1. Нажмите на кнопку Add rule.

      Запустится мастер добавления правила на шаге Choose Rule Type.

    2. В раскрывающемся списке Claim rule template выберите шаблон Transform an Incoming Claim и нажмите на кнопку Next.

      ADFS14

      Вы перейдете к шагу Configure Claim Rule.

    3. В поле Claim rule name введите название правила (например, NameID).
    4. В раскрывающемся списке Incoming claim type выберите E-Mail Address.
    5. В раскрывающемся списке Outgoing claim type выберите Name ID.
    6. В раскрывающемся списке Outgoing name ID format выберите Email.
    7. Выберите вариант Pass through all claim values.

      ADFS15

    8. Нажмите на кнопку Finish.

    Мастер добавления правила закроется. Добавленное правило отобразится в окне Edit Claim Issuance Policy for <название идентификатора> на закладке Issuance Transform Rules.

    ADFS16

  4. Нажмите на кнопку OK.

    Правила будут созданы.

Экспорт сертификата

  1. В консоли AD FS в папке Relying Party Trusts нажмите правой клавишей мыши на запись о платформе ASAP и в контекстном меню выберите Properties.

    Откроется окно свойств платформы ASAP в AD FS.

  2. На закладке Signature загрузите сертификат вашей организации с помощью кнопки Add и нажмите на кнопку OK.

    ADFS17

  3. В дереве папок выберите ServiceCertificates.

    ADFS18

  4. Двойным нажатием клавиши мыши выберите сертификат Token-signing.

    Откроется окно с информацией о сертификате на закладке General.

  5. На закладке Details нажмите на кнопку Copy to file.

    ADFS19

    Запустится мастер экспорта сертификата.

  6. В приветственном окне мастера нажмите на кнопку Next.

    ADFS20

    Вы перейдете к шагу Export File Format.

  7. Выберите формат файла Base-64 encoded X.509 (.CER) и нажмите на кнопку Next.

    ADFS21

    Вы перейдете к шагу File to Export.

  8. В поле File name введите путь к файлу, в который вы хотите экспортировать сертификат, вручную или с помощью кнопки Browse и нажмите на кнопку Next.

    ADFS22

    Вы перейдете к шагу Completing the Certificate Export Wizard.

  9. Проверьте указанные параметры экспорта. Если все верно, нажмите на кнопку Finish.

    ADFS23

  10. В окне подтверждения нажмите на кнопку OK.

    Сертификат будет экспортирован в указанный файл.

Настройка на стороне платформы ASAP

  1. В веб-интерфейсе платформы ASAP в разделе Настройка компании выберите закладку SSO.
  2. В поле Identity provider URL введите URL-адрес в следующем формате:

    <локальный адрес ADFS>/adfs/ls/IdpInitiatedSignOn.aspx

    Например, https://adfs.example.com/adfs/ls/IdpInitiatedSignOn.aspx.

  3. В поле Entity ID введите идентификатор платформы ASAP в AD FS, который вы указали в мастере добавления отношений доверия на шаге Configure Identifiers.
  4. В поле Signing certificate введите содержимое сертификата провайдера идентификации, экспортированного из AD FS.
  5. Нажмите на кнопку Save.

Интеграция платформы ASAP с Active Directory Federation Services будет настроена. Включите использование SSO в веб-интерфейсе ASAP, чтобы пользователи могли проходить аутентификацию на обучающем портале с помощью технологии единого входа.

В начало