Налаштування Identity Provider Connector (IdP Connector) в ESA Web Console

У цих налаштуваннях потрібно вказати докладну інформацію про постачальника ідентифікаційних даних і постачальника послуг.

1.В ESA Web Console відкрийте Components > Identity Provider Connector.

2.Натисніть Create New Identity Provider Configuration.

3.У розділі Basic settings виконайте наведені нижче дії.

oУ полі Configuration Name введіть бажану назву конфігурації. Вона використовуватиметься в списку конфігурацій IdP Connector.

oУ полі Path Name введіть бажану назву. Вона використовуватиметься в складі Configuration URL у подальших налаштуваннях.

4.У розділі 2FA settings виконайте наведені нижче дії.

oЗалиште значення 2FA enabled активним, щоб вимагати в користувачів із налаштованою 2FA застосування другого фактора автентифікації.

oЩоб дозволити користувачам без налаштованої 2FA входити за допомогою цієї конфігурації IdP Connector, залиште значення Allow non-2FA активним.

5.У розділі Original Identity Provider виконайте наведені нижче дії.

oConfiguration from the Original Identity Provider

Use metadata – використовуйте цей варіант, якщо метадані конфігурації постачальника ідентифікаційних даних доступні через безпечне підключення (HTTPS) або як локальний файл. Введіть цю захищену URL-адресу (починаючи з https:// або file://) у полі Metadata URL.

Configure manually – для цього варіанта потрібно вручну отримати та ввести такі дані про постачальника ідентифікаційних даних:

oSingle Sign-on Destination – куди автентифікований користувач переспрямовуватиметься для входу в систему. Деякі постачальники ідентифікаційних даних називають цей параметр Login URL.

oSingle Logout Destination – куди користувач переспрямовуватиметься для виходу із системи. Деякі постачальники ідентифікаційних даних називають цей параметр Logout URL.

oSignature Validation Certificate – сертифікат, який засвідчує підпис постачальника ідентифікаційних даних.

oConfiguration to the Original Identity provider

У цьому розділі слід указати всю інформацію про вихідного постачальника ідентифікаційних даних, необхідну для ESA IdP Connector.

i.Якщо постачальник ідентифікаційних даних може зчитувати конфігурацію з метаданих, укажіть URL-адресу, що відображається в полі Metadata URL. У решті випадків використовуйте інформацію з інших полів (Identifier, Sign-on response URL, Logout response URL, Logout URL) і за потреби експортуйте сертифікати Signing Certificate і Decryption Certificate, якщо вони необхідні постачальнику ідентифікаційних даних.

ii.Налаштуйте постачальника ідентифікаційних даних так, щоб він вимагав Name ID у форматі <username>@<domain> (наприклад, адреси електронної пошти або UPN). Після цього ESA IdP Connector реєструватиме користувача, ідентифікованого за іменем <username>, на сервері ESA Authentication Server в області <domain><domain>.

6.Налаштуйте додаткові параметри безпеки Advanced Security Settings відповідно до ваших потреб (або якщо це необхідно для вашого постачальника ідентифікаційних даних).

oSign Requests to the original Identity Provider – якщо вибрано цей параметр, сертифікат Singing Certificate ESA потрібно налаштувати як довірений на комп’ютері, де розміщено постачальника ідентифікаційних даних.

oValidate original Identity Provider certificate – якщо вибрано цей параметр, сертифікат підпису постачальника ідентифікаційних даних потрібно налаштувати як довірений на комп’ютері, де розміщено ESA.

oCheck original Identity Provider certificate revocation – якщо вибрано цей параметр, ESA перевірятиме, чи досі дійсний сертифікат підпису постачальника ідентифікаційних даних.
 

7.Натисніть Add Service Provider і введіть у полі Display Name потрібне відображуване ім’я. Воно використовуватиметься в списку налаштованих постачальників послуг в IdP Connector.

oConfiguration from the Service Provider

i.Use metadata – використовуйте цей варіант, якщо метадані конфігурації постачальника ідентифікаційних даних доступні через безпечне підключення (HTTPS). Введіть цю захищену URL-адресу (починаючи з https://) у полі Service Provider Metadata URL.

ii.Configure manually – для цього варіанта потрібно вручну отримати та ввести такі дані про постачальника послуг:

oIssuer – видавець. Деякі постачальники послуг називають цей параметр Audience URL або Entity ID.

oSingle Sign-on Destination – куди автентифікований користувач переспрямовуватиметься для входу в систему. Деякі постачальники послуг називають цей параметр Assertion Consumer Service URL.

oSingle Logout Destination – куди користувач переспрямовуватиметься після виходу із системи.

oSignature Validation Certificate – сертифікат, який засвідчує підпис постачальника послуг.

b.Configuration to the Service Provider:

У цьому розділі слід указати всю інформацію про вихідного постачальника ідентифікаційних даних, необхідну для ESA IdP Connector.

i.Якщо постачальник послуг може зчитувати конфігурацію з метаданих, укажіть URL-адресу, що відображається в полі Metadata URL. У решті випадків використовуйте інформацію з інших полів (Identifier, Sign-on URL, Logout URL) і експортуйте сертифікати Singing Certificate і Decryption Certificate, якщо вони необхідні постачальнику послуг.

ii.Щоб видалити, додати або оновити зібрані ідентифікаційні дані (твердження), перш ніж пересилати їх постачальнику послуг, створіть необхідні правила в розділі Claims Translation. Див. нижче приклади перетворення тверджень.

8.Налаштуйте додаткові параметри безпеки Advanced Security Settings відповідно до ваших потреб, або якщо це необхідно для постачальника послуг.

oCheck signature of requests from the Service Provider – якщо вибрано цей параметр, в ESA потрібно налаштувати сертифікат постачальника послуг.

oValidate Service Provider certificate – якщо вибрано цей параметр, сертифікат постачальника послуг потрібно налаштувати як довірений на комп’ютері, де розміщено ESA.

oCheck Service Provider certificate revocation – якщо вибрано цей параметр, ESA перевірятиме, чи досі дійсний сертифікат постачальника послуг.

9.Натисніть Save.

 

Приклади перетворення тверджень

У наведених нижче прикладах ми припускаємо, що ввійшли до системи за допомогою постачальника ідентифікаційних даних і отримали через ESA IdP Connector такі твердження:

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/displayname: SU

http://original_identity_provider/claim/name: Sample User

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/saml2nameid: sample@user.com

http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Видалити певне твердження

Щоб видалити "http://original_identity_provider/claim/displayname: SU" з наведеного вище набору тверджень, налаштуйте в ESA IdP Connector таке правило:

1.Натисніть Add.

2.Виберіть Remove зі списку.

3.У полі Type введіть "http://original_identity_provider/claim/displayname" без лапок.

4.Натисніть Save.

Створення твердження зі спеціальним значенням або заміна значення в готовому твердженні

Щоб замінити "SU" на "sampleuser" в "http://original_identity_provider/claim/displayname: SU", налаштуйте в ESA IdP Connector наведене нижче правило.

1.Натисніть Add.

2.Виберіть Add зі списку.

3.У полі Type введіть "http://original_identity_provider/claim/displayname" без лапок.

4.У полі Constant value введіть "sampleuser".

5.Натисніть Save.

" немає в отриманому наборі тверджень, його буде створено зі значенням, заданим у полі Constant value:

"http://original_identity_provider/claim/displayname: sampleuser"

Створення нового твердження зі значенням із готового

Щоб створити твердження "http://original_identity_provider/claim/profilename" зі значенням твердження "http://original_identity_provider/claim/displayname", налаштуйте в ESA IdP Connector наведене нижче правило.

1.Натисніть кнопку Add (Додати).

2.Виберіть у полі зі списком пункт Copy.

3.У полі From type введіть "http://original_identity_provider/claim/displayname" без лапок.

4.У полі To type введіть "http://original_identity_provider/claim/profilename" без лапок.

5.Натисніть Save.