Конфигурация соединителя поставщика удостоверений в ESA Web Console

Конфигурация содержит сведения о поставщике удостоверений и поставщике услуг.

1.В веб-консоли ESA перейдите в раздел Components > Identity Provider Connector (Компоненты> Соединитель поставщика удостоверений).

2.Нажмите кнопку Create New Identity Provider Configuration.

3.В разделе Basic settings (Основные настройки):

oВведите нужное имя конфигурации в поле Configuration Name (Имя конфигурации). Оно будет использоваться в списке конфигураций соединителя поставщика удостоверений.

oВведите нужное имя в поле Path Name (Имя пути), которое будет использоваться как часть Configuration URL (URL-адреса конфигурации) в последующих конфигурациях.

4.В разделе 2FA settings (Основные настройки):

oОставьте флажок 2FA enabled (Двухфакторная аутентификация включена), чтобы требовать двухфакторную аутентификацию от пользователей, у которых настроена любая двухфакторная аутентификация.

oЧтобы разрешить пользователям, у которых двухфакторная аутентификация (2FA) не настроена, авторизоваться с использованием этой конфигурации соединителя поставщика удостоверений, оставьте флажок Allow non-2FA (Разрешить без двухфакторной аутентификации) установленным.

5.В разделе Original Identity Provider (Основные настройки):

oConfiguration from the Original Identity Provider

Use metadata (Использовать метаданные) — используйте этот параметр, если метаданные конфигурации поставщика удостоверений доступны через безопасное соединение (HTTPS) или в виде локального файла. Введите соответствующий безопасный URL-адрес (начинающийся с https:// или file://) в поле URL-адрес метаданных.

Configure manually (Настройка вручную) — если вы используете эту опцию, нужно будет извлекать и вводить вручную следующие сведения о поставщике удостоверений:

oSingle Sign-on Destination (назначение единого входа) — аутентифицированный пользователь перенаправляется для авторизации. Некоторые поставщики удостоверений называют его URL-адресом входа.

oSingle Logout Destination (назначение единого выхода) — аутентифицированный пользователь перенаправляется для выхода. Некоторые поставщики удостоверений называют его URL-адресом выхода.

oSignature Validation Certificate (Сертификат проверки подписи) — сертификат подписывания поставщика удостоверений.

oConfiguration to the Original Identity provider

В этом разделе приведены основные сведения и данные, позволяющие настроить исходный поставщик удостоверений для работы с соединителем поставщика удостоверений ESA.

i.Если поставщик удостоверений может считывать конфигурацию из метаданных, предоставьте ему URL-адрес, отображаемый в поле Metadata URL (URL-адрес метаданных). В противном случае используйте информацию из других полей (Identifier (Идентификатор), Sign-on response URL (URL-адрес ответа) единого входа, Logout response URL (URL-адрес ответа выхода), Logout URL (URL-адрес выхода) и экспортируйте сертификат подписывания и сертификат расшифровки, если этого требует ваш поставщик удостоверений.

ii.Сконфигурируйте поставщик удостоверений для подачи утверждения Name ID (Идентификатор имени) в формате <username>@<domain> (обычно это адрес электронной почты или UPN). После этого соединитель поставщика удостоверений ESA зарегистрирует пользователя, указанного в поле <username>, на сервере аутентификации ESA в области <domain>.

6.Настройте параметр Advanced Security Settings (Дополнительные параметры безопасности) в соответствии со своими предпочтениями, или если этого требует ваш поставщик удостоверений.

oSign Requests to the original Identity Provider (Подписывать запросы к исходному поставщику удостоверений) — если выбран этот параметр, на компьютере, где размещен поставщик удостоверений, сертификат подписывания (Singing Certificate) ESA должен быть сконфигурирован как доверенный.

oValidate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) — если этот флажок установлен, сертификат подписывания поставщика удостоверений должен быть сконфигурирован как доверенный на компьютере с ESA.

oCheck original Identity Provider certificate revocation (Проверьте отзыв сертификата исходного поставщика удостоверений) — если этот флажок установлен, ESA проверяет действительность сертификата подписывания поставщика удостоверений.
 

7.Щелкните Add Service Provider (Добавить поставщик услуг) и введите нужное имя в поле Display Name (Отображаемое имя). Оно будет использоваться в списке сконфигурированных поставщиков услуг в сконфигурированном соединителе поставщика удостоверений.

oConfiguration from the Service Provider

i.Use metadata (Использовать метаданные) — используйте эту опцию, если метаданные конфигурации поставщика удостоверений доступны через безопасное соединение (HTTPS). Введите соответствующий безопасный URL-адрес (начинающийся с https:// или file://) в поле URL-адрес метаданных поставщика услуг.

ii.Configure manually (Настройка вручную) — если вы используете эту опцию, нужно будет вручную извлекать и вводить следующие сведения о поставщике услуг:

oIssuer (Поставщик). Некоторые поставщики услуг называют этот параметр Audience URL (URL-адрес слушателя) или Entity ID (Идентификатор сущности).

oSingle Sign-on Destination (назначение единого входа) — на него перенаправляется пользователь, прошедший аутентификацию. Некоторые поставщики услуг называют его URL-адрес службы обработчика утверждений.

oSingle Logout Destination (назначение единого выхода) — куда перенаправляется пользователь после выхода.

oSignature Validation Certificate (Сертификат проверки подписи) — сертификат подписывания поставщика услуг.

b.Configuration to the Service Provider:

В этом разделе приведены основные сведения и данные, позволяющие настроить исходный поставщик удостоверений для работы с соединителем поставщика удостоверений ESA.

i.Если поставщик услуг может считывать конфигурацию из метаданных, предоставьте ему URL-адрес, отображаемый в поле Metadata URL (URL-адрес метаданных). В противном случае используйте информацию из других полей (Identifier (Идентификатор), Sign-on URL (URL-адрес входа), Logout URL (URL-адрес выхода)) и экспортируйте Singing Certificate (Сертификат подписывания) и Decryption Certificate (Сертификат расшифровки), если этого требует ваш поставщик услуг.

ii.Чтобы удалить, добавить или обновить собранные сведения об удостоверениях (утверждение), перед их пересылкой поставщику услуг создайте нужные правила в разделе Claims Translation (Передача утверждений). Примеры передачи утверждений приведены ниже.

8.Настройте параметр Advanced Security Settings (Дополнительные параметры безопасности) в соответствии со своими предпочтениями, или если этого требует ваш поставщик услуг.

oCheck signature of requests from the Service Provider (Проверять подпись запросов от поставщика услуг) — если этот флажок установлен, сертификат поставщика услуг должен быть сконфигурирован в ESA.

oValidate Service Provider certificate (Проверять сертификат поставщика услуг) — если этот флажок установлен, сертификат поставщика услуг должен быть сконфигурирован как доверенный на компьютере с ESA.

oCheck Service Provider certificate revocation (Проверять отзыв сертификата поставщика услуг) — если этот флажок установлен, ESA проверяет действительность сертификата подписывания поставщика услуг.

9.Нажмите кнопку Save.

 

Примеры передачи утверждений

В примерах ниже допускается, что авторизация выполняется с помощью поставщика удостоверений и соединитель поставщика удостоверений ESA получил следующие утверждения:

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/displayname: SU

http://original_identity_provider/claim/name: Sample User

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/saml2nameid: sample@user.com

http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Удалить определенное утверждение

Чтобы удалить «http://original_identity_provider/claim/displayname: SU» в вышеуказанном наборе утверждений, сконфигурируйте следующее правило в соединителе поставщика удостоверений ESA:

1.Нажмите кнопку Add.

2.В списке выберите Remove (Удалить).

3.В поле Type (Тип) введите «http://original_identity_provider/claim/displayname» без кавычек.

4.Нажмите кнопку Save.

Создание нового утверждения с пользовательским значением или обновление существующего утверждения (замена его значения)

Чтобы заменить «SU» на «sampleuser» в http://original_identity_provider/claim/displayname: SU, сконфигурируйте следующее правило в соединителе поставщика удостоверений ESA:

1.Нажмите кнопку Add.

2.В списке выберите Add (Удалить).

3.В поле Type (Тип) введите «http://original_identity_provider/claim/displayname» без кавычек.

4.В поле Constant value (Постоянное значение) введите «sampleuser».

5.Нажмите кнопку Save.

» отсутствует в полученном наборе утверждений, оно будет создано со значением, указанным в поле Constant value (Постоянное значении):

"http://original_identity_provider/claim/displayname: sampleuser"

Создание нового утверждения со значением имеющегося утверждения

Чтобы создать утверждение http://original_identity_provider/claim/profilename со значением http://original_identity_provider/claim/displayname, сконфигурируйте следующее правило в соединителе поставщика удостоверений ESA:

1.Нажмите Add (Добавить).

2.В списке выберите команду «Копировать».

3.В поле From type (Тип) введите «http://original_identity_provider/claim/displayname» без кавычек.

4.В поле To type (Тип) введите «http://original_identity_provider/claim/profilename» без кавычек.

5.Нажмите кнопку Save.