Примеры конфигурации соединителя поставщика удостоверений
В примерах конфигурации ниже предполагаются следующие настройки:
•URL-адрес установки ESA: https://esa.test.local:44322/
•Path Name (имя пути), сконфигурированное в соединителе поставщика удостоверений (ESA IdP Connector>): Test
Ссылки на примеры конфигураций: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence
Поставщики удостоверений
OpenAM
Конфигурировать ESA IdP Connector
1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.
2.В разделе Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений установите для параметра URL-адрес метаданных значение
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/ |
<OpenAM_FQDN> необходимо заменить доменным именем, указанным при создании размещенного поставщика удостоверений в консоли OpenAM.
3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (Соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания OpenAM.
Конфигурировать OpenAM
1.Авторизация в OpenAM.
2.В поле Области выберите область, а затем выберите Создать поставщики SAML версии 2.
3.Щелкните Зарегистрировать удаленный поставщик услуг.
4.Введите URL-адрес метаданных, полученный из ESA:
a.В веб-консоли ESA перейдите в раздел Components > Identity Provider Connector (Компоненты > Соединитель поставщика удостоверений) > выберите настроенный соединитель поставщика удостоверений > Original Identity Provider > Configuration to the original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес метаданных). В нашем примере это https://esa.test.local:44322/test/metadata/ToIdentityProvider.
5.В разделе Круг доверия:
a.Выберите Добавить в существующий.
b.Выберите Существующий круг доверия, в которой входит размещенный поставщик удостоверений.
6.Перейдите в раздел Федерация > Поставщики сущностей, выберите используемый поставщик удостоверений и нажмите Формат идентификатора имени.
7.Присвойте значение параметру Карта значений идентификатора имени, если оно еще не назначено.
8.Импортируйте сертификаты ESA IdP Connector (соединителя поставщика удостоверений ESA) в OpenAM с помощью программы командной строки.
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate> |
В приведенном выше коде <openam_keystore.jks>, <esa_signing_ceritificate> и <esa_decryption_ceritificate> нужно заменить на путь к соответствующим местоположениям.
Okta
Конфигурировать ESA IdP Connector
1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.
2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) в качестве значения параметра Metadata URL (URL-адрес метаданных) укажите URL-адрес, полученный из Okta после завершения конфигурирования:
a.Авторизуйтесь в созданном приложении Okta с правами администратора.
b.Откройте вкладку Вход, щелкните правой кнопкой мыши Метаданные поставщика удостоверений в разделе Настройкии скопируйте адрес ссылки (местоположение ссылки).
3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания Okta.
Конфигурирование Okta
1.Авторизуйтесь с помощью учетной записи администратора Okta.
2.Перейдите в раздел Приложения > Приложения.
3.Щелкните Добавить приложение, а затем — Создать новое приложение.
4.Выберите значение Web для параметра Платформа и SAML 2.0 для параметра Метод входа.
5.Щелкните Создать.
6.При настройке приложения:
a. URL-адрес единого входа — получение URL-адреса из ESA Web Console при конфигурировании соединителя поставщика удостоверений ESA:
i. Original Identity Provider >Configuration to the Original Identity Provider > Sign-on URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес входа). В нашем примере:
https://esa.test.local:44322/test/Auth/LoginResponse
b.URI аудитории (идентификатор сущности поставщика услуг) — получение соответствующего значения из ESA Web Console при конфигурировании соединителя поставщика удостоверений ESA:
i.Original Identity Provider >Configuration to the Original Identity Provider > Identifier (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес входа). В нашем примере:
https://esa.test.local:44322/test/
c.В разделе Настройки SAML выберите значение Электронная почта для параметра Имя приложения.
Microsoft Entra ID
Обязательные условия:
•Установлено ядро ESA с соединителем поставщика удостоверений.
•Учетная запись Azure.
Конфигурировать Microsoft Entra ID
1.Авторизуйтесь на портале Azure.
2.Перейдите в раздел Microsoft Entra ID > Enterprise applications (Корпоративные приложения) > New Application (Новое приложение) > Create your own application (Создать собственное приложение) и введите желаемое имя приложения.
3.Нажмите Integrate any other application you don't find in the gallery (Non-gallery) > Create (Применить > Сохранить).
4.В разделе Manage (Управлять) в меню слева щелкните Single sign-on (Единый вход) > SAML:
a.В окне SAML Certificates (Сертификаты SAML) скопируйте значение параметра App Federation Metadata Url (URL-адрес метаданных федерации приложений).
5.Откройте ESA и выберите Components (Компоненты) > Identity Provider Connector (Соединитель поставщика удостоверений) > кнопка Create new identity provider configuration (Создать новую конфигурацию поставщика удостоверений):
a.Заполните поле Configuration Name (Имя конфигурации).
b.В разделе 2FA Settings (Настройки двухфакторной аутентификации) оставьте оба флажка установленными.
c.В разделе Original Identity Provider (Исходный поставщик удостоверений) оставьте выбранным параметр Use metadata (Использовать метаданные).
d.В поле Metadata URL (URL-адрес метаданных) вставьте значение параметра App Federation Metadata Url (URL-адрес метаданных федерации приложений), скопированное на шаге 5.
6.В Azure > Microsoft Entra ID > Enterprise applications (Корпоративные приложения) > Manage (Управлять) > Single sign-on (Единый вход) > SAML в окне Basic SAML Configuration (Базовая конфигурация SAML) щелкните Edit (Изменить):
a.Настройте следующие поля на основе сведений, полученных из конфигурации соединителя поставщика удостоверений ESA:
b.Identifier (Entity ID) (Идентификатор (идентификатор сущности)) — используется значение из раздела Original Identity Provider (Исходный поставщик удостоверений) > Configuration to the Original Identity Provider (Конфигурация, передаваемая исходному поставщику удостоверений) > Identifier (Идентификатор). В нашем примере: https://esa.test.local:44322/test
c.Reply URL (Assertion Consumer Service URL) (URL-адрес ответа (URL-адрес службы обработчика утверждений)) — используется значение из раздела Original Identity Provider (Исходный поставщик удостоверений) > Configuration to the Original Identity Provider (Конфигурация, передаваемая исходному поставщику удостоверений) > Sign-on response URL (URL-адрес ответа при входе). В нашем примере: https://esa.test.local:44322/test/Auth/LoginResponse
d.Logout Url (URL-адрес выхода) — используется значение из раздела Original Identity Provider (Исходный поставщик удостоверений) > Configuration to the Original Identity Provider (Конфигурация, передаваемая исходному поставщику удостоверений) > Logout response URL (URL-адрес ответа при выходе). В нашем примере: https://esa.test.local:44322/test/Auth/LogoutResponse
e.Нажмите кнопку Save (Импортировать маркеры оборудования).
f.В окне SAML Certificate (Сертификат SAML) щелкните Download (Загрузить) рядом с элементом Certificate (Raw) (Сертификат (необработанный)).
7.Если в разделе Дополнительные параметры конфигурации для соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен соединитель поставщика удостоверений ESA (ESA IdP Connector), должен быть настроен как доверенный сертификат для подписи Azure (например, путем добавления его в список доверенных лиц).
8.В Azure > Microsoft Entra ID > Enterprise applications (Корпоративные приложения) > Manage (Управлять) > Users and groups (Пользователи и группы) > Add user/group (Добавить пользователя/группу) > Users and groups (Пользователи и группы) > None Selected (Ничего не выбрано):
a.Найдите пользователя, которого нужно добавить, и установите флажок рядом с ним. Нажмите кнопку Select (Выбрать). Нажмите кнопку Assign (Назначить).
b.В окне Azure > Microsoft Entra ID > Enterprise applications (Корпоративные приложения) > Manage (Управлять) > Single sign-on (Единый вход) > SAML > Test single sign-on (Проверка единого входа) нажмите кнопку Test (Проверить). Появится новая вкладка с подтверждением авторизации пользователя.
AD FS
Конфигурировать ESA IdP Connector
1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.
2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) для параметра Metadata URL (URL-адрес метаданных) укажите значение
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml |
где <AD FS_FQDN> нужно заменить на доменное имя сервера AD FS.
3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания AD FS.
Конфигурирование AD FS
1.Откройте окно «Управление AD FS».
2.Щелкните Доверительные отношения > Отношения доверия проверяющей стороны > Добавить отношение доверия проверяющей стороны.
3.Выберите Поддерживающие утверждения, а затем нажмите кнопку «Начать».
4.Выберите Импорт данных о проверяющей стороне, опубликованных в Интернете или в локальной сети, а в поле Адрес метаданных федерации (URL-адрес имени узла) введите URL-адрес метаданных, указанный в ESA IdP Connector:
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > Идентификатор)
5.Завершите конфигурирование.
6.После нажатия кнопки Закрыть на странице Готово автоматически откроется диалоговое окно Изменение правил утверждений.
7.Выберите вкладку Правила преобразования выдачи и щелкните Добавить правило.
8.В разделе Шаблон правила утверждения выберите Отправка атрибутов LDAP как утверждений, а затем нажмите кнопку Далее.
9.В Хранилище атрибутов выберите Active Directory.
10.Выберите значение Имя пользователя-субъекта для параметра Атрибут LDAP и Идентификатор имени для параметра Исходящее утверждение.
11.В диалоговом окне Изменение правил утверждений нажмите кнопку Готово, а затем — кнопку ОК.
12.Примените следующую конфигурацию с помощью PowerShell:
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none" |
В приведенном выше коде замените <relying_party_name> именем отношения доверия проверяющей стороны, которое было настроено на предыдущих этапах.
13.Загрузите сертификаты из раздела Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) в ESA IdP Connector (соединитель поставщика удостоверений ESA) и импортируйте их в хранилище сертификатов Windows, чтобы сделать их доверенными.
Shibboleth
Конфигурировать ESA IdP Connector
1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.
2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) для параметра Metadata URL (URL-адрес метаданных) укажите значение
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml |
если ESA IdP Connector установлен на том же компьютере, что и Shibboleth. В противном случае скопируйте файл Shibboleth idp-metadata.xml на компьютер, где установлен ESA IdP Connector, и используйте этот путь.
3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания Shibboleth (по умолчанию находящийся по пути C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt).
Конфигурирование Shibboleth
1.Загрузите файл метаданных ESA IdP Connector (соединителя поставщика удостоверений ESA) с URL-адреса, указанного в ESA IdP Connector (соединителе поставщика удостоверений ESA):
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > Идентификатор)
b.Сохраните его на компьютере, где установлен Shibboleth, и используйте его местоположение в файле «C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml»:
<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/> |
В коде выше <metadata_xml_file_from_esa> обозначает путь к загруженному файлу метаданных ESA IdP Connector (соединителя поставщика удостоверений ESA).
2.В Shibboleth передайте какие-либо данные, идентифицирующие пользователя, например значение параметра NameID, в формате сообщения электронной почты. Например, атрибут LDAP электронной почты:
a.Задайте shibboleth.SAML2NameIDGenerators в файле «C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml»:
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> |
b.Добавьте в «C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties»:
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Keycloak
Конфигурировать ESA IdP Connector
1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.
2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) для параметра Metadata URL (URL-адрес метаданных) укажите значение
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor |
при этом в указанном выше URL-адресе замените <keycloak> доменным именем (и портом) экземпляра Keycloak, а <realm> — соответствующим именем области.
3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания Keycloak.
Конфигурирование Keycloak
1.Загрузите метаданные ESA IdP Connector (соединителя поставщика удостоверений ESA) в виде XML-файла из веб-консоли ESA:
a.В браузере откройте URL-адрес метаданных, указанный в разделе Components > Identity Provider Connector (Компоненты > Соединитель поставщика удостоверений) > выберите настроенный соединитель поставщика удостоверений > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес метаданных).
b.Нажмите сочетание клавиш CTRL+S, выберите XML в поле Тип файла если это возможно, а затем нажмите кнопку Сохранить.
2.Авторизуйтесь в консоли администрирования Keycloak.
3.Щелкните Клиенты > Создать.
4.Рядом с пунктом Импортировать щелкните Выбрать файл, найдите XML-файл метаданных, загруженный на шаге 1.
5.В поле Протокол клиента выберите SAML.
6.Заполните оставшиеся поля и нажмите кнопку Сохранить.
7.В окне созданного клиента перейдите на вкладку Настройки и снимите флажок Подписывать утверждения.
8.В поле Формат идентификатора имени выберите электронная почта.
Поставщики услуг
Dropbox
Конфигурировать ESA IdP Connector
1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.
2.При добавлении поставщика услуг в разделе Configuration from the Service Provider (Конфигурация, передаваемая из поставщика услуг) выберите Configure manually (Настроить вручную).
3.В поле Издатель введите «http://Dropbox».
4.Для параметра Single Sign-on Destination (Назначение единого входа) укажите https://www.dropbox.com/saml_login.
5.Скопируйте значения Sign-on URL (URL-адрес входа) и Logout URL (URL-адрес выхода) в текстовый файл и экспортируйте Singing Certificate (Сертификат подписывания) для дальнейшего использования при настройке поставщика услуг.
6.В разделе Advanced Security Settings (Дополнительные параметры безопасности) снимите флажок Check signature of requests from the Service Provider (Проверять подпись запросов от поставщика услуг).
Конфигурирование Dropbox
1.Авторизуйтесь в Dropbox с правами администратора.
2.Перейдите в раздел Настройки > Единый вход.
3.В поле URL-адрес входа введите URL-адрес входа, скопированный из настроенного ESA IdP Connector.
4.В поле URL-адрес выхода введите URL-адрес выхода, скопированный из настроенного ESA IdP Connector.
5.Для сертификата X.509 импортируйте сертификат подписывания, экспортированный ранее из настроенного ESA IdP Connector.
Confluence
Конфигурировать ESA IdP Connector
1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.
2.При добавлении поставщика услуг в разделе Configuration from the Service Provider (Конфигурация, передаваемая из поставщика услуг) выберите Configure manually (Настроить вручную).
3.В поле Issuer (Издатель) скопируйте и вставьте URL-адрес из консоли администрирования Confluence в разделе Аутентификация SAML >URL-адрес аудитории (идентификатор сущности).
4.В поле Single Sign-on Destination (Назначение единого входа) скопируйте и вставьте URL-адрес из консоли администрирования Confluence в разделе Аутентификация SAML >URL-адрес службы обработчика утверждений.
5.Скопируйте значения Identifier (URL-адрес входа) и Sign-on URL (URL-адрес выхода) в текстовый файл и экспортируйте Singing Certificate (Сертификат подписывания) для дальнейшего использования при настройке поставщика услуг.
6.В разделе Advanced Security Settings (Дополнительные параметры безопасности) снимите флажок Check signature of requests from the Service Provider (Проверять подпись запросов от поставщика услуг).
Конфигурирование Confluence
1.Авторизуйтесь в Confluence с правами администратора.
2.Щелкните Аутентификация SAML.
3.В разделе Настройки SAML SSO 2.0:
a.В поле Издатель единого входа введите значение Издатель, скопированное из ESA IdP Connector.
b.В поле URL-адрес единого входа поставщика удостоверений введите URL-адрес входа, скопированный из ESA IdP Connector.
c.В поле Сертификат X.509 скопируйте и вставьте содержимое сертификата подписывания, экспортированного из ESA IdP Connector.