Інтерактивна довідка ESET

Виберіть тему

Приклади конфігурації IdP Connector

У наведених нижче прикладах конфігурації використовуються такі параметри:

URL-адреса інсталяції ESA: https://esa.test.local:44322/

Path Name – назва шляху, задана в ESA Identity Provider Connector (ESA IdP Connector>): test

Посилання на приклади конфігурації нижче: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence

Постачальники ідентифікаційних даних

OpenAM

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider укажіть для поля Metadata URL значення

<OpenAM_FQDN> необхідно замінити на ім’я домену, яке ви вказали під час створення розміщеного постачальника ідентифікаційних даних на консолі OpenAM.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису OpenAM потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштувати OpenAM

1.Увійдіть в OpenAM.

2.У розділі Realms виберіть область, а потім натисніть Create SAML v2 Providers.

3.Натисніть Register Remote Service Provider.

4.Введіть URL-адресу метаданих, отриману з ESA:

a.В ESA Web Console відкрийте Components > Identity Provider Connector > виберіть налаштований IdP Connector > Original Identity Provider > Configuration to the original Identity Provider > Metadata URL. У нашому прикладі: https://esa.test.local:44322/test/metadata/ToIdentityProvider.

5.У розділі Circle of Trust:

a.Виберіть Add to existing.

b.Виберіть коло довіри, до якого належить розміщений постачальник ідентифікаційних даних (Existing Circle of Trust).

6.Відкрийте Federation > Entity Providers, виберіть використовуваного постачальника ідентифікаційних даних і натисніть Name ID Format.

7.Задайте значення Name ID Value Map, якщо його ще немає.

8.Імпортуйте сертифікати ESA IdP Connector в OpenAM за допомогою командного рядка.

У наведеному вище коді замініть <openam_keystore.jks>, <esa_signing_ceritificate> та <esa_decryption_ceritificate> на шляхи до розташувань, де зберігаються відповідні сертифікати.


Okta

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider вкажіть у полі Metadata URL URL-адресу, яку ви отримаєте в програмі Okta після завершення її налаштування.

a.Увійдіть у створену програму Okta як адміністратор.

b.Виберіть вкладку Sign On, правою кнопкою миші натисніть Identity Provider metadata в розділі Settings і скопіюйте посилання.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису Okta потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування Okta

1.Увійдіть в обліковий запис адміністратора Okta.

2.Відкрийте Applications > Applications.

3.Натисніть спершу Add Application, а потім – Create New App.

4.Для параметра Platform виберіть значення Web, а для Sign on method – SAML 2.0.

5.Натисніть Create.

6.Під час налаштування програми:

a. Single sign on URL – отримайте цю адресу з ESA Web Console під час налаштування ESA IdP Connector:

i. Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. У нашому прикладі:
https://esa.test.local:44322/test/Auth/LoginResponse
 

b.Audience URI (SP Entity ID) – отримайте відповідне значення з ESA Web Console під час налаштування ESA IdP Connector:

i.Original Identity Provider > Configuration to the Original Identity Provider > Identifier. У нашому прикладі:
https://esa.test.local:44322/test/

c.У SAML Settings виберіть для параметра Application username значення Email.


Microsoft Entra ID

Попередні вимоги відсутні

Інстальовано ESA Core з Identity Provider Connector.

Наявний обліковий запис Azure.

Налаштувати Microsoft Entra ID

1.Увійдіть на портал Azure.

2.Перейдіть у Microsoft Entra ID (Ідентифікатор Microsoft Entra) > Enterprise applications (Корпоративні програми) > New Application (Нова програма) > Create your own application (Створити власну програму) і введіть бажану назву програми.

3.Натисніть Integrate any other application you don't find in the gallery (Non-gallery) > Create.

4.У розділі Manage (Керувати) у меню ліворуч натисніть Single sign-on (Система єдиного входу) > SAML (Стандарт SAML, мова розмітки декларації безпеки):

a.У вікні SAML Certificates (Сертифікати SAML) скопіюйте App Federation Metadata Url (URL-адреса метаданих федерації програм).

5.Відкрийте ESA і перейдіть до розділу Components (Компоненти) > Identity Provider Connector (З’єднувач постачальника ідентифікаційних даних) > Create new identity provider configuration (Створити нову конфігурацію постачальника ідентифікаційних даних):

a.Заповніть Configuration Name (Назва конфігурації).

b.У розділі 2FA Settings (Параметри двофакторної автентифікації) залиште обидва пункти вибраними.

c.У розділі Original Identity Provider (Оригінальний постачальник ідентифікаційних даних) залиште вибраним поле Use metadata (Використовувати метадані).

d.У поле Metadata URL (URL-адреса метаданих) вставте App Federation Metadata Url (URL-адресу метаданих федерації програм), яку скопіювали на кроці 5.

6.Перейдіть в Azure > Microsoft Entra ID (Ідентифікатор Microsoft Entra) > Enterprise applications (Корпоративні програми) > Manage (Керувати) > Single sign-on (Система єдиного входу) > SAML (Стандарт SAML, мова розмітки декларації безпеки) і у вікні Basic SAML Configuration (Базова конфігурація SAML) натисніть кнопку Edit (Редагувати):

a.Налаштуйте зазначені нижче поля, використовуючи інформацію з конфігурації ESA IdP Connector:

b.Identifier (Entity ID) (Ідентифікатор сутності): використовуйте значення з Original Identity Provider (Оригінальний постачальник ідентифікаційних даних) > Configuration to the Original Identity Provider (Конфігурація оригінального постачальника ідентифікаційних даних) > Identifier (Ідентифікатор). У нашому прикладі: https://esa.test.local:44322/test

c.Reply URL (Assertion Consumer Service URL) (Ідентифікатор відповіді (URL-адреса служби обробника тверджень)): використовуйте значення з Original Identity Provider (Оригінальний постачальник ідентифікаційних даних) > Configuration to the Original Identity Provider (Конфігурація оригінального постачальника ідентифікаційних даних) > Sign-on response URL (URL-адреса відповіді входу). У нашому прикладі: https://esa.test.local:44322/test/Auth/LoginResponse

d.Logout Url (URL-адреса виходу): використовуйте значення з Original Identity Provider (Оригінальний постачальник ідентифікаційних даних) > Configuration to the Original Identity Provider (Конфігурація оригінального постачальника ідентифікаційних даних) > Logout response URL (URL-адреса відповіді виходу). У нашому прикладі: https://esa.test.local:44322/test/Auth/LogoutResponse

e.Натисніть кнопку Save.

f.У вікні SAML Certificate (Сертифікат SAML) натисніть поруч із пунктом Certificate (Raw) (Необроблений сертифікат) Download (Завантажити).

7.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate (Перевіряти сертифікат оригінального постачальника ідентифікаційних даних) і Check original Identity Provider Certificate revocation (Перевіряти відкликання сертифіката оригінального постачальника ідентифікаційних даних), сертифікат підпису Azure потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку Trusted People (Довірені особи)).

8.В Azure > Microsoft Entra ID (Ідентифікатор Microsoft Entra) > Enterprise applications (Корпоративні програми) > Manage (Керувати) > Users and groups (Користувачі й групи) > Add user/group (Додати користувача або групу) > Users and groups (Користувачі й групи) > None Selected (Нічого не вибрано):

a.Знайдіть користувача, якого хочете додати, і поставте поруч із ним прапорець. Натисніть кнопки Select (Вибрати) і Assign (Призначити).

b.Перейдіть в Azure > Microsoft Entra ID (Ідентифікатор Microsoft Entra) > Enterprise applications (Корпоративні програми) > Manage (Керувати) > Single sign-on (Система єдиного входу) > SAML (Стандарт SAML, мова розмітки декларації безпеки) і у вікні Test single sign-on (Тестування системи єдиного входу) натисніть кнопку Test (Тестування). З’явиться нова вкладка з підтвердженням входу користувача.


AD FS

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider у полі Metadata URL укажіть

<AD FS_FQDN> у наведеному коді слід замінити на доменне ім’я вашого сервера AD FS.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису AD FS потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування AD FS

1.Відкрийте AD FS Management.

2.Виберіть Trust Relationships > Relying Party Trusts > Add relying Party Trust.

3.Натисніть спершу Claims Aware, а потім – Start.

4.Виберіть Import data about the relying party published online or on a local network і введіть у полі Federation metadata address (host name URL) URL-адресу метаданих, надану в ESA IdP Connector

a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL

5.Завершіть налаштування.

6.Якщо натиснути кнопку Close на сторінці Finish, автоматично відкриється діалогове вікно Edit Claim Rules.

7.Відкрийте вкладку Issuance Transform Rules і натисніть Add Rule.

8.У розділі Claim rule template виберіть Send LDAP Attributes as Claims. Натисніть Next.

9.Перейдіть до Attribute store та виберіть Active Directory.

10.Для параметра LDAP Attribute виберіть значення User-Principal-Name, а для Outgoing Claim – Name ID.

11.Виберіть Finish і натисніть OK у діалоговому вікні Edit Claim Rules.

12.Застосуйте наведену нижче конфігурацію в PowerShell.

У наведеному вище коді замініть <relying_party_name> на ім’я відносин довіри зі стороною-перевіряльником (Relying Party Trust), задане на попередніх етапах.

13.Завантажте сертифікати з ESA IdP Connector, розділ Original Identity Provider > Configuration from the original Identity Provider, та імпортуйте їх у сховище сертифікатів Windows, щоб зробити їх довіреними.


Shibboleth

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider у полі Metadata URL укажіть

Це потрібно робити, тільки якщо ви інсталюєте ESA IdP Connector на той самий комп’ютер, що й Shibboleth. В іншому разі скопіюйте файл Shibboleth idp-metadata.xml на комп’ютер з ESA IdP Connector та використовуйте цей шлях.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису Shibboleth (за замовчуванням розміщено в папці C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt) потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування Shibboleth

1.Завантажте файл метаданих ESA IdP Connector з URL-адреси, наданої в ESA IdP Connector:

a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL

b.Збережіть цей файл на комп’ютері, де інстальовано програму Shibboleth, і додайте посилання на нього у файл "C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml":

У наведеному вище коді <metadata_xml_file_from_esa> – це шлях до завантаженого файлу метаданих ESA IdP Connector.

2.Надішліть за допомогою Shibboleth певні ідентифікаційні дані користувача у вигляді значення параметра NameID в електронному листі. Наприклад, відправте електронною поштою атрибут LDAP:

a.Задайте значення shibboleth.SAML2NameIDGenerators у файлі "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml":

b.Додайте до файлу "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties" такий код:


Keycloak

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.У розділі Original Identity Provider > Configuration from the original Identity Provider у полі Metadata URL укажіть

Замініть у наведеній вище URL-адресі текст <keycloak> на доменне ім’я (і порт) вашого екземпляра Keycloak, а <realm> – на відповідну назву області.

3.Якщо в розширених налаштуваннях ESA IdP Connector вибрано параметри Validate original Identity Provider certificate і Check original Identity Provider Certificate revocation, сертифікат підпису Keycloak потрібно зробити довіреним на комп’ютері, де інстальовано ESA IdP Connector (наприклад, додавши його до списку довірених осіб Trusted People).

Налаштування Keycloak

1.Завантажте XML-файл метаданих ESA IdP Connector з ESA Web Console, як описано нижче.

a.У браузері відкрийте URL-адресу метаданих, указану в розділі Components > Identity Provider Connector > виберіть налаштований IdP Connector > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL.

b.Натисніть CTRL+S, виберіть для опції Save as type значення "XML" (якщо доступно) і натисніть Save.

2.Увійдіть на консоль адміністрування Keycloak.

3.Натисніть Clients > Create.

4.Поруч із пунктом Import натисніть Select file і знайдіть файл .xml із метаданими, завантажений у п. 1.

5.Виберіть для параметра Client Protocol значення SAML.

6.Заповніть решту полів і натисніть кнопку Save.

7.На вкладці Settings створеного клієнта вимкніть параметр Sign Assertions.

8.Виберіть для параметра Name ID Format значення email.


Постачальники послуг

Dropbox

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.Додаючи постачальника послуг, виберіть параметр Configure manually в розділі Configuration from the Service Provider.

3.У полі Issuer введіть http://Dropbox.

4.У полі Single Sign-on Destination укажіть https://www.dropbox.com/saml_login.

5.Скопіюйте Sign-on URL, Logout URL у текстовий файл і експортуйте сертифікат Singing Certificate: вони знадобляться вам потім під час налаштування постачальника послуг.

6.У меню Advanced Security Settings зніміть прапорець Check signature of requests from the Service Provider.

Налаштування Dropbox

1.Увійдіть у Dropbox як адміністратор.

2.Перейдіть до розділу Settings > Single sign-on.

3.Введіть у полі Sign-in URL адресу Sign-on URL, яку ви скопіювали з налаштованого ESA IdP Connector.

4.Введіть у полі Sign-out URL адресу Logout URL, яку ви скопіювали з налаштованого ESA IdP Connector.

5.У полі X.509 Certificate імпортуйте сертифікат підпису, який ви експортували з налаштованого ESA IdP Connector.


Confluence

Налаштувати ESA IdP Connector

1.Виконайте загальні інструкції з налаштування IdP Connector на ESA Web Console.

2.Додаючи постачальника послуг, виберіть параметр Configure manually в розділі Configuration from the Service Provider.

3.У полі Issuer вставте URL-адресу, скопійовану з консолі адміністрування Confluence: SAML Authentication > Audience URL (Entity ID).

4.У полі Single Sign-on Destination вставте URL-адресу, скопійовану з консолі адміністрування Confluence: SAML Authentication > Assertion Consumer Service URL.

5.Скопіюйте Identifier, Sign-on URL у текстовий файл і експортуйте сертифікат Singing Certificate: вони знадобляться вам потім під час налаштування постачальника послуг.

6.У меню Advanced Security Settings зніміть прапорець Check signature of requests from the Service Provider.

Налаштування Confluence

1.Увійдіть у Confluence як адміністратор.

2.Натисніть SAML Authentication.

3.У розділі SAML SSO 2.0 settings:

a.Введіть у полі Single sign-on Issuer ідентифікатор Identifier, який ви скопіювали з ESA IdP Connector.

b.Введіть у полі Identity provider single sign-on URL адресу Sign-on URL, яку ви скопіювали з ESA IdP Connector

c.Скопіюйте вміст сертифіката підпису, експортованого з ESA IdP Connector, і вставте його в поле X.509 Certificate.