Настройка подключения на стороне Active Directory Federation Services

В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).

На сервере должна быть уже настроена роль ADFS.

Создание новой группы подключения

  1. В Server Manager в меню Tools выберите ADFS Management.

    В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.

  2. В открывшемся окне Add Application Group Wizard в разделе Welcome в поле Name укажите имя новой группы подключения. Пример: new-application-group.

    В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.

    Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.

  3. В открывшемся разделе Native application поля Name и

     Client Identifier

     заполняются автоматически.

    Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.

    В поле

     

    Redirect URI введите URI для перенаправления из ADFS с обязательным указанием подстроки /sso-callback и нажмите Add. Пример: https://adfs.example.com:7220/sso-callback

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  4. В открывшемся разделе Configure Web API в поле

    Identifiers

    добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demo

    Значение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  5. В открывшемся разделе Apply Access Control Policy выберите значение политики Permit everyone.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  6. В открывшемся разделе Configure Application Permissions поле Client application заполняется автоматически.

    В поле Permitted scopes установите флажок для опций allatclaims и openid.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  7. В открывшемся разделе Summary проверьте настройки.

    Если настройки верны и вы готовы добавить группу, нажмите Next.

Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.

Добавление правил для группы подключения

  1. В Server Manager в меню Tools выберите ADFS Management.

    В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.

  2. В окне Application groups в разделе Actions нажмите Properties.

    В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.

    В открывшемся окне new-application-group - Web API Properties перейдите на вкладку 

    Issuance Transform Rules

     и нажмите Add rule.

    В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  3. В разделе Configure Claim Rule в поле Claim rule name укажите имя правила. Пример: rule-name-01.

    В раскрывающемся списке Attribute store выберите Active directory.

    В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:

    LDAP Attribute

    Outgoing Claim Type

    User-Principal-Name

    userPrincipalName

    Display-Name

    displayName

    E-Mail-Addresses

    mail

    Is-Member-Of-DL

    MemberOf

    Чтобы завершить настройку, нажмите Finish.

  4. Вернитесь к окну new-application-group – Web API Properties перейдите на вкладку 

    Issuance Transform Rules

     и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.

    Чтобы продолжить настройку, нажмите Next.

  5. В разделе Configure Claim Rule в поле Claims rule name укажите имя правила. Пример: rule-name-02.

    В поле Custom rule укажите следующие параметры: 

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);

    Чтобы завершить настройку, нажмите Finish.

  6. Система выполнит переход к окну new-application-group – Web API Properties и вкладке Issuance Transform Rules.

    Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.

Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.

В начало