Пример настройки ADFS

Предварительные условия

Все компоненты (домен, контроллер с работающим ADFS, платформа Visiology) должны находиться в одной сети.
На платформе должен быть настроен HTTPS. Для платформы и для ADFS должны быть сгенерированы сертификаты в OpenSSL.
Все настройки ADFS, не касающиеся сертификатов, должны быть настроены в соответствии с данной инструкцией: Install and Configure ADFS Step by Step - Server 2016.
Корневой сертификат должен быть доверенным.

Войдите в оснастку ADFS (Диспетчер серверов > Средства > Управление ADFS).
Добавьте новую группу приложений, нажав на Группы приложений > Добавить группу приложений:
В открывшемся мастере добавления групп приложений введите название приложения, выберите шаблон Серверное приложение, подключающееся к веб-API и нажмите Далее:
Укажите URI для обработки обратного вызова аутентификации и сохраните куда-нибудь идентификатор клиента - он понадобится вам позже. Нажмите Далее:
Укажите метод проверки подлинности приложения и нажмите Далее:
Добавьте идентификатор веб-интерфейса:
В окне политики управления доступом выберите Разрешение для каждого, затем выберите разрешённые области доступа к приложению и нажмите Далее:
Проверьте параметры создания приложения.

Откройте панель администрирования и перейдите на страницу Основные > Авторизация > OpenID Connect.
Заполните поля на вкладке Основные настройки и нажмите Сохранить:

Доступны следующие поля:

Поле	Описание

Поле	Описание
UserName claim	Ключ (наименование) клейма в токене пользователя для поиска пользователя на платформе. Можно установить любое наименование из токена, например, upn.
Repsonse type	Ожидаемый тип процесса аутентификации на внешнем провайдере, например, id_token token.
Authentication scheme	Схема аутентификации, например, oidc.
Authority	Путь до сервиса авторизации.
Client id	Идентификатор клиента из провайдера, соответствует Client Id в Application Group в AD FS Management (см. п. 4 настройки свойств приложения в ADFS).
Client secret	Не заполняется.
Callback path	Путь для обработки обратного вызова аутентификации (см. п. 4 настройки свойств приложения в ADFS).
Scope	Список запрашиваемых разрешений (например, `openid profile role`, или, в нашем случае, `allatclaims email openid profile`. См. п. 7 выше).
Resource	Идентификатор веб-интерфейса (см. п. 6 выше).
Claims source	Для ADFS выберите "id_token".

На стороне платформы Visiology необходимо выполнить пункт Настройка ролей в этой инструкции.

На стороне ADFS необходимо выполнить следующие шаги:

В оснастке откройте настроенную группу приложений и перейдите в настройки веб-интерфейса:
На вкладке Правила преобразования выдачи нажмите кнопку Добавить правило…:
В мастере добавления правила преобразования утверждения выберите шаблон Отправка атрибутов LDAP как утверждений и нажмите Далее:
На следующем шаге введите название правила, укажите Active Directory в качестве хранилища атрибутов, создайте сопоставление атрибутов (Группы маркеров - неизвестные имена - Роли) и нажмите Готово:

После успешного выполнения всех вышеописанных шагов, при попытке войти в платформу вас перенаправят на сайт авторизации ADFS:

Смотрите также

На этой странице

Время чтения: 4 мин.

Нужна дополнительная помощь?

Свяжитесь с технической поддержкой.