Konfigurácia konektora poskytovateľa identity (konektor IdP) v ESA Web Console
Konfigurácia zahŕňa podrobnosti o poskytovateľovi identity aj (IdP) poskytovateľovi služieb (SP).
1.V nástroji ESA Web Console prejdite na Components > Identity Provider Connector.
2.Kliknite na Create New Identity Provider Configuration.
3.V sekcii Basic settings:
oZadajte názov konfigurácie do poľa Configuration Name. Táto konfigurácia sa následne bude nachádzať v zozname konfigurácií konektora IdP.
oZadajte cestu do poľa Path Name, ktorá bude použitá ako súčasť URL adresy konfigurácie (Configuration URL) pri ďalšom nastavení.
4.V sekcii 2FA settings:
oPonechajte zapnutú možnosť 2FA enabled, aby bolo vyžadované overenie prostredníctvom druhého faktora pre používateľov, pre ktorých je nastavené akékoľvek 2FA.
oAk chcete umožniť používateľom, pre ktorých nie je nastavené žiadne 2FA, aby sa mohli prihlasovať cez túto konfiguráciu konektora IdP, ponechajte označenú možnosť Allow non-2FA.
5.V sekcii Original Identity Provider:
oConfiguration from the Original Identity Provider
•Use metadata – túto možnosť použite v prípade, že konfiguračné metadáta IdP sú dostupné cez zabezpečené pripojenie (HTTPS) alebo v podobe lokálneho súboru. Do poľa Metadata URL zadajte zabezpečenú URL adresu (https:// alebo file://).
•Configure manually – ak použijete túto možnosť, budete musieť manuálne zadať nasledujúce informácie o IdP:
oSingle Sign-on Destination – adresa jednotného prihlásenia, na ktorú bude overený používateľ presmerovaný, aby sa mohol prihlásiť. Niektorí poskytovatelia identity ju nazývajú Login URL.
oSingle Logout Destination – adresa jednotného odhlásenia, na ktorú bude používateľ presmerovaný, aby sa mohol odhlásiť. Niektorí poskytovatelia identity ju nazývajú Logout URL.
oSignature Validation Certificate – podpisový certifikát IdP.
oConfiguration to the Original Identity provider
V tejto sekcii nájdete všetky dôležité údaje, pomocou ktorých môžete nastaviť pôvodného poskytovateľa identity tak, aby fungoval s konektorom IdP ESA.
i.V prípade, že poskytovateľ identity dokáže načítať konfiguráciu z metadát, poskytnite mu URL adresu zobrazenú v časti Metadata URL. V opačnom prípade použite údaje z iných polí (Identifier, Sign-on response URL, Logout response URL, Logout URL) a potom exportujte podpisový certifikát (Signing Certificate) a dešifrovací certifikát (Decryption Certificate), ak to vyžaduje váš poskytovateľ identity.
ii.Nastavte poskytovateľa identity tak, aby poskytol údaj Name ID vo formáte <username>@<domain> (štandardná možnosť je e‑mailová adresa alebo UPN). Konektor IdP ESA následne zaregistruje používateľa identifikovaného podľa <username> na autentifikačnom serveri ESA v príslušnej doméne <domain>.
6.V sekcii Advanced Security Settings upravte príslušné nastavenia podľa svojej potreby, prípadne tak, ako to vyžaduje váš poskytovateľ identity.
oSign Requests to the original Identity Provider – ak je označená táto možnosť, podpisový certifikát (Singing Certificate) ESA musí byť nastavený ako dôveryhodný na počítači, na ktorom beží IdP.
oValidate original Identity Provider certificate – ak je označená táto možnosť, podpisový certifikát IdP musí byť nastavený ako dôveryhodný na počítači, na ktorom beží ESA.
oCheck original Identity Provider certificate revocation – ak je označená táto možnosť, ESA skontroluje platnosť podpisového certifikátu IdP.
7.Kliknite na Add Service Provider a zadajte Display Name. Ide o názov, ktorý sa bude zobrazovať v zozname nakonfigurovaných poskytovateľov služieb v rámci konfigurácie konektora IdP.
oConfiguration from the Service Provider
i.Use metadata – túto možnosť použite v prípade, že konfiguračné metadáta IdP sú dostupné cez zabezpečené pripojenie (HTTPS). Do poľa Service Provider Metadata URL zadajte zabezpečenú URL adresu (https:// alebo file://).
ii.Configure manually – ak použijete túto možnosť, budete musieť manuálne zadať nasledujúce informácie o poskytovateľovi služieb:
oIssuer – niektorí poskytovatelia služieb to nazývajú aj Audience URL alebo Entity ID.
oSingle Sign-on Destination – adresa jednotného prihlásenia, na ktorú bude overený používateľ presmerovaný. Niektorí poskytovatelia služieb ju označujú aj ako Assertion Consumer Service URL.
oSingle Logout Destination – adresa, na ktorú je používateľ presmerovaný po odhlásení.
oSignature Validation Certificate – podpisový certifikát poskytovateľa služby.
b.Configuration to the Service Provider:
V tejto sekcii nájdete všetky dôležité údaje, pomocou ktorých môžete nastaviť pôvodného poskytovateľa identity tak, aby fungoval s konektorom IdP ESA.
i.V prípade, že poskytovateľ služieb dokáže načítať konfiguráciu z metadát, poskytnite mu URL adresu zobrazenú v časti Metadata URL. V opačnom prípade použite údaje z iných polí (Identifier, Sign-on URL, Logout URL) a potom exportujte podpisový certifikát (Singing Certificate) a dešifrovací certifikát (Decryption Certificate), ak to vyžaduje váš poskytovateľ služieb.
ii.Ak chcete odstrániť, pridať alebo aktualizovať zozbierané údaje o identite predtým, ako budú odoslané poskytovateľovi služieb, vytvorte potrebné pravidlá v sekcii Claims Translation. Príklady prekladu údajov nájdete nižšie.
8.V sekcii Advanced Security Settings upravte príslušné nastavenia podľa svojej potreby, prípadne tak, ako to vyžaduje váš poskytovateľ služieb.
oCheck signature of requests from the Service Provider – ak je označená táto možnosť, v ESA musí byť nastavený certifikát poskytovateľa služieb.
oValidate Service Provider certificate – ak je označená táto možnosť, certifikát poskytovateľa služieb musí byť nastavený ako dôveryhodný na počítači, na ktorom beží ESA.
oCheck Service Provider certificate revocation – ak je označená táto možnosť, ESA skontroluje, či je platný certifikát poskytovateľa služieb.
9.Kliknite na Save.
Príklady prekladu údajov
V príkladoch nižšie predpokladáme, že sme prihlásení cez IdP a nasledujúce údaje boli prijaté konektorom IdP ESA:
http://original_identity_provider/claim/nameid: sample@user.com http://original_identity_provider/claim/displayname: SU http://original_identity_provider/claim/name: Sample User http://original_identity_provider/claim/nameid: sample@user.com http://original_identity_provider/claim/saml2nameid: sample@user.com http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Odstránenie konkrétneho údaju
Ak chcete odstrániť „http://original_identity_provider/claim/displayname: SU“ z množiny údajov vyššie, nastavte v konektore IdP ESA nasledujúce pravidlo:
1.Kliknite na Add.
2.Zo zoznamu vyberte možnosť Remove.
3.Do poľa Type zadajte „http://original_identity_provider/claim/displayname“ bez úvodzoviek.
4.Kliknite na Save.
Vytvorenie nového údaju s vlastnou hodnotou alebo aktualizácia existujúceho (nahradenie hodnoty)
Ak chcete v údaji „http://original_identity_provider/claim/displayname: SU„ nahradiť „SU“ hodnotou „sampleuser“, nastavte v konektore IdP ESA nasledujúce pravidlo:
1.Kliknite na Add.
2.Zo zoznamu vyberte možnosť Add.
3.Do poľa Type zadajte „http://original_identity_provider/claim/displayname“ bez úvodzoviek.
4.Do poľa Constant value zadajte „sampleuser“.
5.Kliknite na Save.
Ak sa údaj „http://original_identity_provider/claim/displayname“ nenachádzal v prijatej množine údajov, bude vytvorený s hodnotou definovanou v poli Constant value:
"http://original_identity_provider/claim/displayname: sampleuser"
Vytvorenie nového údaju s hodnotou existujúceho údaju
Ak chcete vytvoriť údaj „http://original_identity_provider/claim/profilename“ s hodnotou údaju „http://original_identity_provider/claim/displayname“, nastavte v konektore IdP ESA nasledujúce pravidlo:
1.Kliknite na Add.
2.Zo zoznamu vyberte možnosť Copy.
3.Do poľa From type zadajte „http://original_identity_provider/claim/displayname“ bez úvodzoviek.
4.Do poľa To type zadajte „http://original_identity_provider/claim/profilename“ bez úvodzoviek.
5.Kliknite na Save.