Решения Store 365 / SAML

SAML

Настроить интеграцию с SAML в ELMA365

Для настройки SAML интеграции потребуется действующий SSL-сертификат, который будет использоваться для подписи запросов на стороне Service Provider`а.

  1. Перейдите в Администрирование > Модули > SAML.
  2. Выберите опцию Включить модуль и нажмите Добавить элемент. Откроется окно настроек SAML провайдера.
  3. В поле «Наименование» введите название для интеграции.
  4. В поле «URL метаданных IdP» введите URL метаданных вашего AD FS сервера (например, https://your-domain.com/FederationMetadata/2007-06/FederationMetadata.xml).
  5. В поле «Публичный ключ» введите строковое представление вашего публичного ключа в pem формате.
  6. В поле «Закрытый ключ» введите строковое представление вашего закрытого ключа в pem формате.
  7. Нажмите кнопку «Сохранить».После успешного сохранения настроек SAML интеграции, будет сгенерирована ссылка на файл метаданных, которая отобразится в поле URL.
  8. Перейдите по ссылке URL метаданных и сохраните файл метаданных Service Provider`а в xml формате. Он потребуется на следующем шаге, при настройке AD FS сервера.

Настроить аутентификацию на сервере AD FS

После того, как вы настроили интеграцию с SAML провайдером и получили файл метаданных, вы можете настроить сервер AD FS.

В этой статье приводятся инструкции  для ОС Windows Server 2016. Для других версий шаги могут отличаться.

Чтобы настроить аутентификацию на сервере AD FS выполните следующие действия.

Создать отношение доверия с проверяющей стороной

AD FS требует создавать отношение доверия с проверяющей стороной (relying party trust) для каждого поставщика услуг (Service Provider, SP), который будет использовать AD FS для аутентификации.

Создайте отношение доверия с проверяющей стороной для федерации:

  1. Войдите на ваш сервер AD FS и откройте Server Manager.
  2. Откройте консоль управления AD FS: Tools AD FS Management.
  3. В списке действий выберите Add Relying Party Trust.
  4. Откроется окно помощника. На первой странице выберите Claims aware и нажмите Start.
  5. Выберите Import data about the relying party from a file и укажите файл метаданных, полученный на предыдущем шаге при конфигурировании настроек интеграции SAML в ELMA365,  нажмите Next.
  6. Задайте имя, например «ELMA365», и нажмите Next.
  7. На следующей странице можно выбрать, кому будет доступна аутентификация с помощью этой федерации. По умолчанию выбрана политика Permit for everyone, которая разрешает доступ для всех пользователей.
  8. На странице Ready to Add Trust проверьте введенные данные и нажмите Close.

Настроить Claims Mapping

Когда AD FS аутентифицирует пользователя, она отправляет Service Provider`у SAML-сообщение с подтверждением об успешной аутентификации. Чтобы верно идентифицировать пользователя, необходимо настроить соответствие данных пользователя элементам SAML-сообщения.

Для этого:

  1. В консоли управления AD FS в блоке Relying Party Trusts нажмите правой кнопкой мыши на созданное ранее отношение доверия с проверяющей стороной и выберите Edit Claim Issuance Policy.
  2. В открывшемся окне нажмите Add Rule.
  3. Выберите Send Claims Using a Custom Rule и нажмите Next.
  4. В поле Claim Rule Name введите имя правила, например «CustomRule1». В поле Custom Rule укажите правило:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/windowsaccountname"), query = ";sAMAccountName;{0}", param = c.Value);

Нажмите Finish.

  1. Введите еще одно правило, для этого снова нажмите Add Rule.
  2. Выберите Send Claims Using a Custom Rule и нажмите Next.
  3. В поле Claim Rule Name введите имя правила, например «CustomRule2». В поле Custom Rule укажите правило:

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient");

Нажмите Finish.

  1. Нажмите OK.

Нашли опечатку? Выделите текст, нажмите ctrl + enter и оповестите нас