В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).
На сервере должна быть уже настроена роль ADFS.
Создание новой группы подключения
В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.
В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.
Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.
Client Identifier
заполняются автоматически.Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.
В поле
Redirect URI введите URI для перенаправления из ADFS с обязательным указанием подстроки /sso-callback и нажмите Add. Пример: https://adfs.example.com:7220/sso-callback
Чтобы перейти к следующему этапу настройки, нажмите Next.
Identifiers
добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demoЗначение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.
Чтобы перейти к следующему этапу настройки, нажмите Next.
Чтобы перейти к следующему этапу настройки, нажмите Next.
В поле Permitted scopes установите флажок для опций allatclaims и openid.
Чтобы перейти к следующему этапу настройки, нажмите Next.
Если настройки верны и вы готовы добавить группу, нажмите Next.
Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.
Добавление правил для группы подключения
В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.
В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.
В открывшемся окне new-application-group - Web API Properties перейдите на вкладку
Issuance Transform Rules
и нажмите Add rule.В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.
Чтобы перейти к следующему этапу настройки, нажмите Next.
В раскрывающемся списке Attribute store выберите Active directory.
В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:
LDAP Attribute |
Outgoing Claim Type |
---|---|
|
|
|
|
|
|
|
|
Чтобы завершить настройку, нажмите Finish.
Issuance Transform Rules
и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.Чтобы продолжить настройку, нажмите Next.
В поле Custom rule укажите следующие параметры:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);
Чтобы завершить настройку, нажмите Finish.
Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.
Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.
В начало