Настройка подключения на стороне Active Directory Federation Services
В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).
На сервере должна быть уже настроена роль ADFS.
Создание новой группы подключения
- В Server Manager в меню Tools выберите ADFS Management.
В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.
- В открывшемся окне Add Application Group Wizard в разделе Welcome в поле Name укажите имя новой группы подключения. Пример: new-application-group.
В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.
Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.
- В открывшемся разделе Native application поля Name и
Client Identifier
заполняются автоматически.Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.
В поле
Чтобы перейти к следующему этапу настройки, нажмите Next.
- В открывшемся разделе Configure Web API в поле
Identifiers
добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demoЗначение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.
Чтобы перейти к следующему этапу настройки, нажмите Next.
- В открывшемся разделе Apply Access Control Policy выберите значение политики Permit everyone.
Чтобы перейти к следующему этапу настройки, нажмите Next.
- В открывшемся разделе Configure Application Permissions поле Client application заполняется автоматически.
В поле Permitted scopes установите флажок для опций allatclaims и openid.
Чтобы перейти к следующему этапу настройки, нажмите Next.
- В открывшемся разделе Summary проверьте настройки.
Если настройки верны и вы готовы добавить группу, нажмите Next.
Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.
Добавление правил для группы подключения
- В Server Manager в меню Tools выберите ADFS Management.
В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.
- В окне Application groups в разделе Actions нажмите Properties.
В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.
В открывшемся окне new-application-group - Web API Properties перейдите на вкладку
Issuance Transform Rules
и нажмите Add rule.В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.
Чтобы перейти к следующему этапу настройки, нажмите Next.
- В разделе Configure Claim Rule в поле Claim rule name укажите имя правила. Пример: rule-name-01.
В раскрывающемся списке Attribute store выберите Active directory.
В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:
LDAP Attribute
Outgoing Claim Type
User-Principal-Name
userPrincipalName
Display-Name
displayName
E-Mail-Addresses
mail
Is-Member-Of-DL
MemberOf
Чтобы завершить настройку, нажмите Finish.
- Вернитесь к окну new-application-group – Web API Properties перейдите на вкладку
Issuance Transform Rules
и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.Чтобы продолжить настройку, нажмите Next.
- В разделе Configure Claim Rule в поле Claims rule name укажите имя правила. Пример: rule-name-02.
В поле Custom rule укажите следующие параметры:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);
Чтобы завершить настройку, нажмите Finish.
- Система выполнит переход к окну new-application-group – Web API Properties и вкладке Issuance Transform Rules.
Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.
Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.