Конфигурация соединителя поставщика удостоверений в ESA Web Console
Конфигурация содержит сведения о поставщике удостоверений и поставщике услуг.
1.В веб-консоли ESA перейдите в раздел Components > Identity Provider Connector (Компоненты> Соединитель поставщика удостоверений).
2.Нажмите кнопку Create New Identity Provider Configuration.
3.В разделе Basic settings (Основные настройки):
oВведите нужное имя конфигурации в поле Configuration Name (Имя конфигурации). Оно будет использоваться в списке конфигураций соединителя поставщика удостоверений.
oВведите нужное имя в поле Path Name (Имя пути), которое будет использоваться как часть Configuration URL (URL-адреса конфигурации) в последующих конфигурациях.
4.В разделе 2FA settings (Основные настройки):
oОставьте флажок 2FA enabled (Двухфакторная аутентификация включена), чтобы требовать двухфакторную аутентификацию от пользователей, у которых настроена любая двухфакторная аутентификация.
oЧтобы разрешить пользователям, у которых двухфакторная аутентификация (2FA) не настроена, авторизоваться с использованием этой конфигурации соединителя поставщика удостоверений, оставьте флажок Allow non-2FA (Разрешить без двухфакторной аутентификации) установленным.
5.В разделе Original Identity Provider (Основные настройки):
oConfiguration from the Original Identity Provider
•Use metadata (Использовать метаданные) — используйте этот параметр, если метаданные конфигурации поставщика удостоверений доступны через безопасное соединение (HTTPS) или в виде локального файла. Введите соответствующий безопасный URL-адрес (начинающийся с https:// или file://) в поле URL-адрес метаданных.
•Configure manually (Настройка вручную) — если вы используете эту опцию, нужно получить и ввести вручную следующие сведения о поставщике удостоверений:
oSingle Sign-on Destination (назначение единого входа) — аутентифицированный пользователь перенаправляется для авторизации. Некоторые поставщики удостоверений называют его URL-адресом входа.
oSingle Logout Destination (назначение единого выхода) — аутентифицированный пользователь перенаправляется для выхода. Некоторые поставщики удостоверений называют его URL-адресом выхода.
oSignature Validation Certificate (Сертификат проверки подписи) — сертификат подписывания поставщика удостоверений.
oConfiguration to the Original Identity provider
В этом разделе приведены основные сведения и данные, позволяющие настроить исходный поставщик удостоверений для работы с соединителем поставщика удостоверений ESA.
i.Если поставщик удостоверений может считывать конфигурацию из метаданных, предоставьте ему URL-адрес, отображаемый в поле Metadata URL (URL-адрес метаданных). В противном случае используйте информацию из других полей (Identifier (Идентификатор), Sign-on response URL (URL-адрес ответа) единого входа, Logout response URL (URL-адрес ответа выхода), Logout URL (URL-адрес выхода) и экспортируйте сертификат подписывания и сертификат расшифровки, если этого требует ваш поставщик удостоверений.
ii.Сконфигурируйте поставщик удостоверений для подачи утверждения Name ID (Идентификатор имени) в формате <username>@<domain> (обычно это адрес электронной почты или UPN). После этого соединитель поставщика удостоверений ESA зарегистрирует пользователя, указанного в поле <username>, на сервере аутентификации ESA в области <domain>.
6.Настройте параметр Advanced Security Settings (Дополнительные параметры безопасности) в соответствии со своими предпочтениями, или если этого требует ваш поставщик удостоверений.
oSign Requests to the original Identity Provider (Подписывать запросы к исходному поставщику удостоверений) — если выбран этот параметр, на компьютере, где размещен поставщик удостоверений, сертификат подписывания (Singing Certificate) ESA должен быть сконфигурирован как доверенный.
oValidate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) — если этот флажок установлен, сертификат подписывания поставщика удостоверений должен быть сконфигурирован как доверенный на компьютере с ESA.
oCheck original Identity Provider certificate revocation (Проверьте отзыв сертификата исходного поставщика удостоверений) — если этот флажок установлен, ESA проверяет действительность сертификата подписывания поставщика удостоверений.
7.Щелкните Add Service Provider (Добавить поставщик услуг) и введите нужное имя в поле Display Name (Отображаемое имя). Оно будет использоваться в списке сконфигурированных поставщиков услуг в сконфигурированном соединителе поставщика удостоверений.
oConfiguration from the Service Provider
i.Use metadata (Использовать метаданные) — используйте эту опцию, если метаданные конфигурации поставщика удостоверений доступны через безопасное соединение (HTTPS). Введите соответствующий безопасный URL-адрес (начинающийся с https:// или file://) в поле URL-адрес метаданных поставщика услуг.
ii.Configure manually (Настройка вручную) — если вы используете эту опцию, нужно будет вручную извлекать и вводить следующие сведения о поставщике услуг:
oIssuer (Поставщик). Некоторые поставщики услуг называют этот параметр Audience URL (URL-адрес слушателя) или Entity ID (Идентификатор сущности).
oSingle Sign-on Destination (назначение единого входа) — на него перенаправляется пользователь, прошедший аутентификацию. Некоторые поставщики услуг называют его URL-адрес службы обработчика утверждений.
oSingle Logout Destination (назначение единого выхода) — куда перенаправляется пользователь после выхода.
oSignature Validation Certificate (Сертификат проверки подписи) — сертификат подписывания поставщика услуг.
b.Configuration to the Service Provider:
В этом разделе приведены основные сведения и данные, позволяющие настроить исходный поставщик удостоверений для работы с соединителем поставщика удостоверений ESA.
i.Если поставщик услуг может считывать конфигурацию из метаданных, предоставьте ему URL-адрес, отображаемый в поле Metadata URL (URL-адрес метаданных). В противном случае используйте информацию из других полей (Identifier (Идентификатор), Sign-on URL (URL-адрес входа), Logout URL (URL-адрес выхода)) и экспортируйте Singing Certificate (Сертификат подписывания) и Decryption Certificate (Сертификат расшифровки), если этого требует ваш поставщик услуг.
ii.Чтобы удалить, добавить или обновить собранные сведения об удостоверениях (утверждение) перед их пересылкой поставщику услуг, создайте нужные правила в разделе Claims Translation (Передача утверждений). Примеры передачи утверждений приведены ниже.
8.Настройте параметр Advanced Security Settings (Дополнительные параметры безопасности) в соответствии со своими предпочтениями, или если этого требует ваш поставщик услуг.
oCheck signature of requests from the Service Provider (Проверять подпись запросов от поставщика услуг) — если этот флажок установлен, сертификат поставщика услуг должен быть сконфигурирован в ESA.
oValidate Service Provider certificate (Проверять сертификат поставщика услуг) — если этот флажок установлен, сертификат поставщика услуг должен быть сконфигурирован как доверенный на компьютере с ESA.
oCheck Service Provider certificate revocation (Проверять отзыв сертификата поставщика услуг) — если этот флажок установлен, ESA проверяет действительность сертификата подписывания поставщика услуг.
9.Нажмите кнопку Save.
Примеры передачи утверждений
В примерах ниже допускается, что авторизация выполняется с помощью поставщика удостоверений и соединитель поставщика удостоверений ESA получил следующие утверждения:
http://original_identity_provider/claim/nameid: sample@user.com http://original_identity_provider/claim/displayname: SU http://original_identity_provider/claim/name: Sample User http://original_identity_provider/claim/nameid: sample@user.com http://original_identity_provider/claim/saml2nameid: sample@user.com http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Удалить определенное утверждение
Чтобы удалить «http://original_identity_provider/claim/displayname: SU» в вышеуказанном наборе утверждений, сконфигурируйте следующее правило в соединителе поставщика удостоверений ESA:
1.Нажмите кнопку Add.
2.В списке выберите Remove (Удалить).
3.Для параметра Type (Тип) введите «http://original_identity_provider/claim/displayname» без кавычек.
4.Нажмите кнопку Save.
Создание нового утверждения с пользовательским значением или обновление существующего утверждения (замена его значения)
Чтобы заменить «SU» на «sampleuser» в http://original_identity_provider/claim/displayname: SU, сконфигурируйте следующее правило в соединителе поставщика удостоверений ESA:
1.Нажмите кнопку Add.
2.В списке выберите Add (Удалить).
3.Для параметра Type (Тип) введите «http://original_identity_provider/claim/displayname» без кавычек.
4.Для параметра Constant value (Постоянное значение) введите «sampleuser».
5.Нажмите кнопку Save.
» отсутствует в полученном наборе утверждений, оно будет создано со значением, указанным в поле Constant value (Постоянное значении):
"http://original_identity_provider/claim/displayname: sampleuser"
Создание нового утверждения со значением имеющегося утверждения
Чтобы создать утверждение http://original_identity_provider/claim/profilename со значением http://original_identity_provider/claim/displayname, сконфигурируйте следующее правило в соединителе поставщика удостоверений ESA:
1.Нажмите Add (Добавить).
2.В списке выберите команду «Копировать».
3.Для параметра From type (Исходный тип) введите «http://original_identity_provider/claim/displayname» без кавычек.
4.Для параметра To type (Целевой тип) введите «http://original_identity_provider/claim/profilename» без кавычек.
5.Нажмите кнопку Save.