Приклади конфігурації IdP Connector

У наведених нижче прикладах конфігурації використовуються такі параметри:

URL-адреса інсталяції ESA: https://esa.test.local:44322/

Path Name – назва шляху, задана в ESA Identity Provider Connector (ESA IdP Connector>): test

Посилання на приклади конфігурації нижче: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence

Постачальники ідентифікаційних даних

OpenAM

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider укажіть для поля Metadata URL значення

https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/

<OpenAM_FQDN> необхідно замінити на ім’я домену, яке ви вказали під час створення розміщеного постачальника ідентифікаційних даних на консолі OpenAM.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису OpenAM потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштувати OpenAM

1.Увійдіть в OpenAM.

2.У розділі Realms виберіть область, а потім натисніть Create SAML v2 Providers.

3.Натисніть Register Remote Service Provider.

4.Введіть URL-адресу метаданих, отриману з ESA:

a.В ESA Web Console відкрийте Components > Identity Provider Connector > виберіть налаштований IdP Connector > Original Identity Provider > Configuration to the original Identity Provider > Metadata URL. У нашому прикладі: https://esa.test.local:44322/test/metadata/ToIdentityProvider.

5.У розділі Circle of Trust:

a.Виберіть Add to existing.

b.Виберіть коло довіри, до якого належить розміщений постачальник ідентифікаційних даних (Existing Circle of Trust).

6.Відкрийте Federation > Entity Providers, виберіть використовуваного постачальника ідентифікаційних даних і натисніть Name ID Format.

7.Задайте значення Name ID Value Map, якщо його ще немає.

8.Імпортуйте сертифікати ESA IdP Connector в OpenAM за допомогою командного рядка.

keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate>

keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate>

У наведеному вище коді замініть <openam_keystore.jks>, <esa_signing_ceritificate> та <esa_decryption_ceritificate> на шляхи до розташувань, де зберігаються відповідні сертифікати.


Okta

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider вкажіть у полі Metadata URL URL-адресу, яку ви отримаєте в програмі Okta після завершення її налаштування.

a.Увійдіть у створену програму Okta як адміністратор.

b.Виберіть вкладку Sign On, правою кнопкою миші натисніть Identity Provider metadata в розділі Settings і скопіюйте посилання.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису Okta потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування Okta

1.Увійдіть в обліковий запис адміністратора Okta.

2.Відкрийте Applications > Applications.

3.Натисніть спершу Add Application, а потім – Create New App.

4.Для параметра Platform виберіть значення Web, а для Sign on method – SAML 2.0.

5.Натисніть Create.

6.Під час налаштування програми:

a. Single sign on URL – отримайте цю адресу з ESA Web Console під час налаштування ESA IdP Connector:

i. Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. У нашому прикладі:
https://esa.test.local:44322/test/Auth/LoginResponse
 

b.Audience URI (SP Entity ID) – отримайте відповідне значення з ESA Web Console під час налаштування ESA IdP Connector:

i.Original Identity Provider > Configuration to the Original Identity Provider > Identifier. У нашому прикладі:
https://esa.test.local:44322/test/

c.У SAML Settings виберіть для параметра Application username значення Email.


Azure AD

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider вкажіть у полі Metadata URL URL-адресу, яку ви отримаєте в програмі Azure після завершення її налаштування.

a.На порталі Azure перейдіть до Azure Active Directory > Enterprise applications і виберіть зі списку потрібну програму.

b.Натисніть Single sign-on, після чого скопіюйте URL-адресу з поля App Federation Metadata Url до розділу SAML Signing Certificate.

3.Якщо в розширених параметрах ESA IdP Connector вибрано опції Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису Azure потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People). Сертифікат підпису Azure можна завантажити з порталу Azure:

a.Відкрийте Azure Active Directory > Enterprise applications. Виберіть зі списку програму, для якої налаштовано єдиний вхід, і натисніть Single sign-on.

b.У розділі SAML Signing Certificate натисніть Download поруч із Certificate (Raw).

Налаштувати Azure AD

1.Увійдіть на портал Azure.

2.Виберіть Azure Active Directory > Enterprise applications > New Application.

3.Натисніть Non-gallery application.

4.У розділі Single sign-on налаштуйте зазначені нижче поля, використовуючи інформацію з конфігурації ESA IdP Connector:

a.Identifier (Entity ID) – використовуйте значення з розділу Original Identity Provider > Configuration to the Original Identity Provider > Identifier. У нашому прикладі:
https://esa.test.local:44322/test

b.Reply URL (Assertion Consumer Service URL), Sign on URL—використовуйте значення з розділу Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. У нашому прикладі:
https://esa.test.local:44322/test/Auth/LoginResponse

c.Identifier (Entity ID) – використовуйте значення з розділу Original Identity Provider > Configuration to the Original Identity Provider > Logout URL. У нашому прикладі:
https://esa.test.local:44322/test/Auth/LogoutResponse


AD FS

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider у полі Metadata URL укажіть

https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml

<AD FS_FQDN> у наведеному коді слід замінити на доменне ім’я вашого сервера AD FS.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису AD FS потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування AD FS

1.Відкрийте AD FS Management.

2.Виберіть Trust Relationships > Relying Party Trusts > Add relying Party Trust.

3.Натисніть спершу Claims Aware, а потім – Start.

4.Виберіть Import data about the relying party published online or on a local network і введіть у полі Federation metadata address (host name URL) URL-адресу метаданих, надану в ESA IdP Connector

a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL

5.Завершіть налаштування.

6.Якщо натиснути кнопку Close на сторінці Finish, автоматично відкриється діалогове вікно Edit Claim Rules.

7.Відкрийте вкладку Issuance Transform Rules і натисніть Add Rule.

8.У розділі Claim rule template виберіть Send LDAP Attributes as Claims. Натисніть Next.

9.Перейдіть до Attribute store та виберіть Active Directory.

10.Для параметра LDAP Attribute виберіть значення User-Principal-Name, а для Outgoing Claim – Name ID.

11.Виберіть Finish і натисніть OK у діалоговому вікні Edit Claim Rules.

12.Застосуйте наведену нижче конфігурацію в PowerShell.

Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none"

Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none"

У наведеному вище коді замініть <relying_party_name> на ім’я відносин довіри зі стороною-перевіряльником (Relying Party Trust), задане на попередніх етапах.

13.Завантажте сертифікати з ESA IdP Connector, розділ Original Identity Provider > Configuration from the original Identity Provider, та імпортуйте їх у сховище сертифікатів Windows, щоб зробити їх довіреними.


Shibboleth

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider у полі Metadata URL укажіть

file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml

Це потрібно робити, тільки якщо ви інсталюєте ESA IdP Connector на той самий комп’ютер, що й Shibboleth. В іншому разі скопіюйте файл Shibboleth idp-metadata.xml на комп’ютер з ESA IdP Connector та використовуйте цей шлях.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису Shibboleth (за замовчуванням розміщено в папці C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt) потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування Shibboleth

1.Завантажте файл метаданих ESA IdP Connector з URL-адреси, наданої в ESA IdP Connector:

a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL

b.Збережіть цей файл на комп’ютері, де інстальовано програму Shibboleth, і додайте посилання на нього у файл "C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml":

<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/>

У наведеному вище коді <metadata_xml_file_from_esa> – це шлях до завантаженого файлу метаданих ESA IdP Connector.

2.Надішліть за допомогою Shibboleth певні ідентифікаційні дані користувача у вигляді значення параметра NameID в електронному листі. Наприклад, відправте електронною поштою атрибут LDAP:

a.Задайте значення shibboleth.SAML2NameIDGenerators у файлі "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml":

<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" />

b.Додайте до файлу "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties" такий код:

idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress


Keycloak

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider у полі Metadata URL укажіть

https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor

Замініть у наведеній вище URL-адресі текст <keycloak> на доменне ім’я (і порт) вашого екземпляра Keycloak, а <realm> – на відповідну назву області.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису Keycloak потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування Keycloak

1.Завантажте XML-файл метаданих ESA IdP Connector з ESA Web Console, як описано нижче.

a.У браузері відкрийте URL-адресу метаданих, указану в розділі Components > Identity Provider Connector > виберіть налаштований IdP Connector > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL.

b.Натисніть CTRL+S, виберіть для опції Save as type значення "XML" (якщо доступно) і натисніть Save.

2.Увійдіть на консоль адміністрування Keycloak.

3.Натисніть Clients > Create.

4.Поруч із пунктом Import натисніть Select file і знайдіть файл .xml із метаданими, завантажений у п. 1.

5.Виберіть для параметра Client Protocol значення SAML.

6.Заповніть решту полів і натисніть кнопку Save.

7.На вкладці Settings створеного клієнта вимкніть параметр Sign Assertions.

8.Виберіть для параметра Name ID Format значення email.


Постачальники послуг

Dropbox

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.Додаючи постачальника послуг, виберіть параметр Configure manually в розділі Configuration from the Service Provider.

3.У полі Issuer введіть http://Dropbox.

4.У полі Single Sign-on Destination укажіть https://www.dropbox.com/saml_login.

5.Скопіюйте Sign-on URL, Logout URL у текстовий файл і експортуйте сертифікат Singing Certificate: вони знадобляться вам потім під час налаштування постачальника послуг.

6.У меню Advanced Security Settings зніміть прапорець Check signature of requests from the Service Provider.

Налаштування Dropbox

1.Увійдіть у Dropbox як адміністратор.

2.Перейдіть до розділу Settings > Single sign-on.

3.Введіть у полі Sign-in URL адресу Sign-on URL, яку ви скопіювали з налаштованого ESA IdP Connector.

4.Введіть у полі Sign-out URL адресу Logout URL, яку ви скопіювали з налаштованого ESA IdP Connector.

5.У полі X.509 Certificate імпортуйте сертифікат підпису, який ви експортували з налаштованого ESA IdP Connector.


Confluence

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.Додаючи постачальника послуг, виберіть параметр Configure manually в розділі Configuration from the Service Provider.

3.У полі Issuer вставте URL-адресу, скопійовану з консолі адміністрування Confluence: SAML Authentication > Audience URL (Entity ID).

4.У полі Single Sign-on Destination вставте URL-адресу, скопійовану з консолі адміністрування Confluence: SAML Authentication > Assertion Consumer Service URL.

5.Скопіюйте Identifier, Sign-on URL у текстовий файл і експортуйте сертифікат Singing Certificate: вони знадобляться вам потім під час налаштування постачальника послуг.

6.У меню Advanced Security Settings зніміть прапорець Check signature of requests from the Service Provider.

Налаштування Confluence

1.Увійдіть у Confluence як адміністратор.

2.Натисніть SAML Authentication.

3.У розділі SAML SSO 2.0 settings:

a.Введіть у полі Single sign-on Issuer ідентифікатор Identifier, який ви скопіювали з ESA IdP Connector.

b.Введіть у полі Identity provider single sign-on URL адресу Sign-on URL, яку ви скопіювали з ESA IdP Connector

c.Скопіюйте вміст сертифіката підпису, експортованого з ESA IdP Connector, і вставте його в поле X.509 Certificate.