Аутентификация через WS-Federation. Настройка подключения, федеративного сервера и глобальной конфигурации

Введение

В этой статье представлены инструкции по настройке подключения и экземпляра ПО Comindware Business Application Platform для использования федеративной аутентификации посредством службы Active Directory Federation Services (ADFS).

Чтобы включить федеративную аутентификацию, необходимо настроить отношение доверия с проверяющей стороной на стороне федеративного сервера (далее — ADFS), настроить подключение к серверу ADFS и установить для соответствующих аккаунтов способ аутентификации « Федеративная аутентификация».

Порядок настройки

1. На сервере ADFS настройте отношение доверия с проверяющей стороной:

   • идентификатор проверяющей стороны (relying party identifier): URL-адрес экземпляра ПО Comindware Business Application Platform;
   • адрес пассивной конечной точки WS-Federation (ws-federation passive endpoint): URL-адрес экземпляра ПО (точка по умолчанию);
   • пользователь утверждений (claims): имя пользователя и (или) почтовый ящик.

   См. статью «Создание отношений доверия с проверяющей стороной» (документация Microsoft).

2. В конфигурации экземпляра ПО включите федеративную аутентификацию (instancename — имя экземпляра ПО):

   Linux

   В файле /usr/share/comindware/configs/instance/instancename.yml измените директиву IsFederationAuthEnabled: 0 на IsFederationAuthEnabled: 1


   Windows

   В файле C:\ProgramData\Comindware\Instances\instancename\Config\instancename.yml измените директиву IsFederationAuthEnabled: 0 на IsFederationAuthEnabled: 1


3. В экземпляре ПО откройте раздел «Администрирование» — «Подключения» и создайте подключение типа «Аутентификация через WS-Federation».

   

   Создание подключения к службе федеративной аутентификации

4. Настройте свойства нового подключения:

   • Отключить аутентификацию — установите этот флажок, если требуется временно деактивировать вход в Систему посредством службы федеративной аутентификации.
   • Название — укажите наглядное название подключения.
   • Поставщик удостоверений — выберите пункт «AD FS».
   • URL метаданных федерации — укажите URL метаданных службы федерации, например: https://adfs.corp,mycompany.ru/federationmetadata/FederationMetadata.xml
   • Идентификатор проверяющей стороны — укажите URL-адрес сервера Comindware Business Application Platform (такой же идентификатор, как на шаге 1).
   • Домены электронной почты — список доменов, аккаунтам в которых разрешена аутентификация через данное подключение. Домены можно разделять пробелами, запятыми или точками с запятой.
   • Группа — выберите группу, для аккаунтов в которой будет действовать аутентификация через WS-Federation.

   

   Создание канала связи для федеративной аутентификации

    

5. На странице «Администрирование» — «Администрирование аккаунтов» выберите пункт «Аккаунты» ‌.

6. Установите для соответствующих аккаунтов способ аутентификации «Федеративная аутентификация».

   

   Установка метода проверки подлинности «Федеративная аутентификация» в настройках аккаунта

7. На странице «Администрирование» — «Глобальная конфигурация» установите «URL-адрес сервера», совпадающий с идентификатор проверяющей стороны, см. пункт 1.

   

   Установка внешнего адреса сервера в глобальной конфигурации

8. Перезагрузите экземпляр ПО для инициализации подключения к службе федеративной аутентификации.

9. Если настроено подключение к службе федеративной аутентификации и включена федеративная аутентификация, на странице входа появится кнопка «Войти с помощью AD FS».

   

   Страница входа в систему с кнопкой «Войти с помощью AD FS» при настроенной федеративной аутентификации

10. При нажатии кнопки «Войти с помощью AD FS» откроется страница входа на сервер ADFS.

11. После успешной аутентификации откроется начальная страница экземпляра ПО. 

Связанные статьи

Глобальная конфигурация

Пути и содержимое папок экземпляра ПО 

Подсистема журналирования 

Создание отношений доверия с проверяющей стороной(документация Microsoft)

‌ К началу