Пример настройки ADFS
- Эдуард Столяр
Предварительные условия
Все компоненты (домен, контроллер с работающим ADFS, платформа Visiology) должны находиться в одной сети.
На платформе должен быть настроен HTTPS. Для платформы и для ADFS должны быть сгенерированы сертификаты в OpenSSL.
Все настройки ADFS, не касающиеся сертификатов, должны быть настроены в соответствии с данной инструкцией: Install and Configure ADFS Step by Step - Server 2016.
Корневой сертификат должен быть доверенным.
Настройка свойства приложения в оснастке ADFS
Войдите в оснастку ADFS (Диспетчер серверов > Средства > Управление ADFS).
Добавьте новую группу приложений, нажав на Группы приложений > Добавить группу приложений:
В открывшемся мастере добавления групп приложений введите название приложения, выберите шаблон Серверное приложение, подключающееся к веб-API и нажмите Далее:
Укажите URI для обработки обратного вызова аутентификации и сохраните куда-нибудь идентификатор клиента - он понадобится вам позже. Нажмите Далее:
Укажите метод проверки подлинности приложения и нажмите Далее:
Добавьте идентификатор веб-интерфейса:
В окне политики управления доступом выберите Разрешение для каждого, затем выберите разрешённые области доступа к приложению и нажмите Далее:
Проверьте параметры создания приложения.
Настройка на стороне платформы Visiology
Откройте панель администрирования и перейдите на страницу Основные > Авторизация > OpenID Connect.
Заполните поля на вкладке Основные настройки и нажмите Сохранить:
Доступны следующие поля:
Поле | Описание |
|---|---|
UserName claim | Ключ (наименование) клейма в токене пользователя для поиска пользователя на платформе. Можно установить любое наименование из токена, например, upn. |
Repsonse type | Ожидаемый тип процесса аутентификации на внешнем провайдере, например, id_token token. |
Authentication scheme | Схема аутентификации, например, oidc. |
Authority | Путь до сервиса авторизации. |
Client id | Идентификатор клиента из провайдера, соответствует Client Id в Application Group в AD FS Management (см. п. 4 настройки свойств приложения в ADFS). |
Client secret | Не заполняется. |
Callback path | Путь для обработки обратного вызова аутентификации (см. п. 4 настройки свойств приложения в ADFS). |
Scope | Список запрашиваемых разрешений (например, |
Resource | Идентификатор веб-интерфейса (см. п. 6 выше). |
Claims source | Для ADFS выберите "id_token". |
Сопоставление ролей с группами пользователей в ADFS
На стороне платформы Visiology необходимо выполнить пункт Настройка ролей в этой инструкции.
На стороне ADFS необходимо выполнить следующие шаги:
В оснастке откройте настроенную группу приложений и перейдите в настройки веб-интерфейса:
На вкладке Правила преобразования выдачи нажмите кнопку Добавить правило…:
В мастере добавления правила преобразования утверждения выберите шаблон Отправка атрибутов LDAP как утверждений и нажмите Далее:
На следующем шаге введите название правила, укажите Active Directory в качестве хранилища атрибутов, создайте сопоставление атрибутов (Группы маркеров - неизвестные имена - Роли) и нажмите Готово:
После успешного выполнения всех вышеописанных шагов, при попытке войти в платформу вас перенаправят на сайт авторизации ADFS:
Смотрите также
На этой странице
Время чтения: 4 мин.
Нужна дополнительная помощь?