Примеры конфигурации соединителя поставщика удостоверений

В примерах конфигурации ниже предполагаются следующие настройки:

URL-адрес установки ESA: https://esa.test.local:44322/

Path Name (имя пути), сконфигурированное в соединителе поставщика удостоверений (ESA IdP Connector>): Test

Ссылки на примеры конфигураций: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence

Поставщики удостоверений

OpenAM

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.В разделе Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений установите для параметра URL-адрес метаданных значение

https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/

<OpenAM_FQDN> необходимо заменить доменным именем, указанным при создании размещенного поставщика удостоверений в консоли OpenAM.

3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (Соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания OpenAM.

Конфигурировать OpenAM

1.Авторизация в OpenAM.

2.В поле Области выберите область, а затем выберите Создать поставщики SAML версии 2.

3.Щелкните Зарегистрировать удаленный поставщик услуг.

4.Введите URL-адрес метаданных, полученный из ESA:

a.В веб-консоли ESA перейдите в раздел Components > Identity Provider Connector (Компоненты > Соединитель поставщика удостоверений) > выберите настроенный соединитель поставщика удостоверений > Original Identity Provider > Configuration to the original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес метаданных). В нашем примере это https://esa.test.local:44322/test/metadata/ToIdentityProvider.

5.В разделе Круг доверия:

a.Выберите Добавить в существующий.

b.Выберите Существующий круг доверия, в которой входит размещенный поставщик удостоверений.

6.Перейдите в раздел Федерация > Поставщики сущностей, выберите используемый поставщик удостоверений и нажмите Формат идентификатора имени.

7.Присвойте значение параметру Карта значений идентификатора имени, если оно еще не назначено.

8.Импортируйте сертификаты ESA IdP Connector (соединителя поставщика удостоверений ESA) в OpenAM с помощью программы командной строки.

keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate>

keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate>

В приведенном выше коде <openam_keystore.jks>, <esa_signing_ceritificate> и <esa_decryption_ceritificate> нужно заменить на путь к соответствующим местоположениям.


Okta

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) в качестве значения параметра Metadata URL (URL-адрес метаданных) укажите URL-адрес, полученный из Okta после завершения конфигурирования:

a.Авторизуйтесь в созданном приложении Okta с правами администратора.

b.Откройте вкладку Вход, щелкните правой кнопкой мыши Метаданные поставщика удостоверений в разделе Настройкии скопируйте адрес ссылки (местоположение ссылки).

3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания Okta.

Конфигурирование Okta

1.Авторизуйтесь с помощью учетной записи администратора Okta.

2.Перейдите в раздел Приложения > Приложения.

3.Щелкните Добавить приложение, а затем — Создать новое приложение.

4.Выберите значение Web для параметра Платформа и SAML 2.0 для параметра Метод входа.

5.Щелкните Создать.

6.При настройке приложения:

a. URL-адрес единого входа — получение URL-адреса из ESA Web Console при конфигурировании соединителя поставщика удостоверений ESA:

i. Original Identity Provider >Configuration to the Original Identity Provider > Sign-on URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес входа). В нашем примере:
https://esa.test.local:44322/test/Auth/LoginResponse
 

b.URI аудитории (идентификатор сущности поставщика услуг) — получение соответствующего значения из ESA Web Console при конфигурировании соединителя поставщика удостоверений ESA:

i.Original Identity Provider >Configuration to the Original Identity Provider > Identifier (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес входа). В нашем примере:
https://esa.test.local:44322/test/

c.В разделе Настройки SAML выберите значение Электронная почта для параметра Имя приложения.


Azure AD

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) в качестве значения параметра Metadata URL (URL-адрес метаданных) укажите URL-адрес, полученный из Azure после завершения конфигурирования:

a.На портале Azure перейдите в раздел Azure Active Directory > Корпоративные приложения и выберите приложение в списке.

b.Щелкните Единый вход и скопируйте URL-адрес из поля URL-адрес метаданных федерации приложений в разделе Сертификат подписывания SAML.

3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA), должен быть настроен доверенный сертификат для подписи Azure (например, путем добавления его в список доверенных лиц). Этот сертификат можно загрузить на портале Azure:

a.Перейдите в раздел Azure Active Directory > Корпоративные приложения, выберите приложение, настроенное для единого входа, и нажмите Единый вход.

b.В разделе Сертификат подписывания SAML щелкните Загрузить рядом с разделом Сертификат (RAW).

Конфигурировать Azure AD

1.Авторизуйтесь на портале Azure.

2.Перейдите в раздел Azure Active Directory > Корпоративные приложения > Новое приложение.

3.Щелкните Приложение не из коллекции.

4.В разделе Единый вход сконфигурируйте следующие поля на основе сведений, полученных из конфигурации соединителя поставщика удостоверений ESA:

a.Идентификатор (идентификатор сущности) — используется значение из раздела Original Identity Provider > Configuration to the Original Identity Provider > Identifier (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > Идентификатор). В нашем примере:
https://esa.test.local:44322/test

b.URL-адрес ответа (URL-адрес службы обработчика утверждений), URL-адрес входа — используется значение из раздела Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес входа). В нашем примере:
https://esa.test.local:44322/test/Auth/LoginResponse

c.URL-адрес выхода — используется значение из раздела Original Identity Provider > Configuration to the Original Identity Provider > Logout URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес выхода). В нашем примере:
https://esa.test.local:44322/test/Auth/LogoutResponse


AD FS

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) для параметра Metadata URL (URL-адрес метаданных) укажите значение

https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml

где <AD FS_FQDN> нужно заменить на доменное имя сервера AD FS.

3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания AD FS.

Конфигурирование AD FS

1.Откройте окно «Управление AD FS».

2.Щелкните Доверительные отношения > Отношения доверия проверяющей стороны > Добавить отношение доверия проверяющей стороны.

3.Выберите Поддерживающие утверждения, а затем нажмите кнопку «Начать».

4.Выберите Импорт данных о проверяющей стороне, опубликованных в Интернете или в локальной сети, а в поле Адрес метаданных федерации (URL-адрес имени узла) введите URL-адрес метаданных, указанный в ESA IdP Connector:

a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > Идентификатор)

5.Завершите конфигурирование.

6.После нажатия кнопки Закрыть на странице Готово автоматически откроется диалоговое окно Изменение правил утверждений.

7.Выберите вкладку Правила преобразования выдачи и щелкните Добавить правило.

8.В разделе Шаблон правила утверждения выберите Отправка атрибутов LDAP как утверждений, а затем нажмите кнопку Далее.

9.В Хранилище атрибутов выберите Active Directory.

10.Выберите значение Имя пользователя-субъекта для параметра Атрибут LDAP и Идентификатор имени для параметра Исходящее утверждение.

11.В диалоговом окне Изменение правил утверждений нажмите кнопку Готово, а затем — кнопку ОК.

12.Примените следующую конфигурацию с помощью PowerShell:

Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none"

Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none"

В приведенном выше коде замените <relying_party_name> именем отношения доверия проверяющей стороны, которое было настроено на предыдущих этапах.

13.Загрузите сертификаты из раздела Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) в ESA IdP Connector (соединитель поставщика удостоверений ESA) и импортируйте их в хранилище сертификатов Windows, чтобы сделать их доверенными.


Shibboleth

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) для параметра Metadata URL (URL-адрес метаданных) укажите значение

file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml

если ESA IdP Connector установлен на том же компьютере, что и Shibboleth. В противном случае скопируйте файл Shibboleth idp-metadata.xml на компьютер, где установлен ESA IdP Connector, и используйте этот путь.

3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания Shibboleth (по умолчанию находящийся по пути C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt).

Конфигурирование Shibboleth

1.Загрузите файл метаданных ESA IdP Connector (соединителя поставщика удостоверений ESA) с URL-адреса, указанного в ESA IdP Connector (соединителе поставщика удостоверений ESA):

a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > Идентификатор)

b.Сохраните его на компьютере, где установлен Shibboleth, и используйте его местоположение в файле «C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml»:

<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/>

В коде выше <metadata_xml_file_from_esa> обозначает путь к загруженному файлу метаданных ESA IdP Connector (соединителя поставщика удостоверений ESA).

2.В Shibboleth передайте какие-либо данные, идентифицирующие пользователя, например значение параметра NameID, в формате сообщения электронной почты. Например, атрибут LDAP электронной почты:

a.Задайте shibboleth.SAML2NameIDGenerators в файле «C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml»:

<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" />

b.Добавьте в «C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties»:

idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress


Keycloak

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.В разделе Original Identity Provider > Configuration from the original Identity Provider (Исходный поставщик удостоверений > Конфигурация, передаваемая из исходного поставщика удостоверений) для параметра Metadata URL (URL-адрес метаданных) укажите значение

https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor

при этом в указанном выше URL-адресе замените <keycloak> доменным именем (и портом) экземпляра Keycloak, а <realm> — соответствующим именем области.

3.Если в разделе Дополнительные параметры конфигурации соединителя поставщика удостоверений ESA выбраны опции Validate original Identity Provider certificate (Проверять сертификат исходного поставщика удостоверений) и Check original Identity Provider Certificate revocation (Проверять наличие отзыва сертификата исходного поставщика удостоверений), на том компьютере, где установлен ESA IdP Connector (соединитель поставщика удостоверений ESA) (например, путем добавления его в список доверенных лиц), должен быть настроен доверенный сертификат подписывания Keycloak.

Конфигурирование Keycloak

1.Загрузите метаданные ESA IdP Connector (соединителя поставщика удостоверений ESA) в виде XML-файла из веб-консоли ESA:

a.В браузере откройте URL-адрес метаданных, указанный в разделе Components > Identity Provider Connector (Компоненты > Соединитель поставщика удостоверений) > выберите настроенный соединитель поставщика удостоверений > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL (Исходный поставщик удостоверений > Конфигурация, передаваемая исходному поставщику удостоверений > URL-адрес метаданных).

b.Нажмите сочетание клавиш CTRL+S, выберите XML в поле Тип файла если это возможно, а затем нажмите кнопку Сохранить.

2.Авторизуйтесь в консоли администрирования Keycloak.

3.Щелкните Клиенты > Создать.

4.Рядом с пунктом Импортировать щелкните Выбрать файл, найдите XML-файл метаданных, загруженный на шаге 1.

5.В поле Протокол клиента выберите SAML.

6.Заполните оставшиеся поля и нажмите кнопку Сохранить.

7.В окне созданного клиента перейдите на вкладку Настройки и снимите флажок Подписывать утверждения.

8.В поле Формат идентификатора имени выберите электронная почта.


Поставщики услуг

Dropbox

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.При добавлении поставщика услуг в разделе Configuration from the Service Provider (Конфигурация, передаваемая из поставщика услуг) выберите Configure manually (Настроить вручную).

3.В поле Издатель введите «http://Dropbox».

4.Для параметра Single Sign-on Destination (Назначение единого входа) укажите https://www.dropbox.com/saml_login.

5.Скопируйте значения Sign-on URL (URL-адрес входа) и Logout URL (URL-адрес выхода) в текстовый файл и экспортируйте Singing Certificate (Сертификат подписывания) для дальнейшего использования при настройке поставщика услуг.

6.В разделе Advanced Security Settings (Дополнительные параметры безопасности) снимите флажок Check signature of requests from the Service Provider (Проверять подпись запросов от поставщика услуг).

Конфигурирование Dropbox

1.Авторизуйтесь в Dropbox с правами администратора.

2.Перейдите в раздел Настройки > Единый вход.

3.В поле URL-адрес входа введите URL-адрес входа, скопированный из настроенного ESA IdP Connector.

4.В поле URL-адрес выхода введите URL-адрес выхода, скопированный из настроенного ESA IdP Connector.

5.Для сертификата X.509 импортируйте сертификат подписывания, экспортированный ранее из настроенного ESA IdP Connector.


Confluence

Конфигурировать ESA IdP Connector

1.Выполните общую инструкцию по настройке соединителя поставщика удостоверений в ESA Web Console.

2.При добавлении поставщика услуг в разделе Configuration from the Service Provider (Конфигурация, передаваемая из поставщика услуг) выберите Configure manually (Настроить вручную).

3.В поле Issuer (Издатель) скопируйте и вставьте URL-адрес из консоли администрирования Confluence в разделе Аутентификация SAML >URL-адрес аудитории (идентификатор сущности).

4.В поле Single Sign-on Destination (Назначение единого входа) скопируйте и вставьте URL-адрес из консоли администрирования Confluence в разделе Аутентификация SAML >URL-адрес службы обработчика утверждений.

5.Скопируйте значения Identifier (URL-адрес входа) и Sign-on URL (URL-адрес выхода) в текстовый файл и экспортируйте Singing Certificate (Сертификат подписывания) для дальнейшего использования при настройке поставщика услуг.

6.В разделе Advanced Security Settings (Дополнительные параметры безопасности) снимите флажок Check signature of requests from the Service Provider (Проверять подпись запросов от поставщика услуг).

Конфигурирование Confluence

1.Авторизуйтесь в Confluence с правами администратора.

2.Щелкните Аутентификация SAML.

3.В разделе Настройки SAML SSO 2.0:

a.В поле Издатель единого входа введите значение Издатель, скопированное из ESA IdP Connector.

b.В поле URL-адрес единого входа поставщика удостоверений введите URL-адрес входа, скопированный из ESA IdP Connector.

c.В поле Сертификат X.509 скопируйте и вставьте содержимое сертификата подписывания, экспортированного из ESA IdP Connector.