Аутентификация через WS-Federation. Настройка подключения, федеративного сервера и глобальной конфигурации

Содержание

Внимание!

Представленные в данной статье инструкции зависят от конфигурации сторонних систем и окружения, в котором развёрнут экземпляр ПО Comindware Business Application Platform.

Описать все возможные варианты и сочетания конфигураций сторонних систем не представляется возможным, поэтому данные инструкции могут не подойти для вашего случая.

Для корректной настройки конфигурации контроллера домена, экземпляра ПО и компьютеров конечных пользователей следует обратиться за консультацией в службу поддержки Comindware по адресу:

https://www.comindware.ru/company/contact-us/#tab_support

Введение

В этой статье представлены инструкции по настройке подключения и экземпляра ПО Comindware Business Application Platform для использования федеративной аутентификации посредством службы Active Directory Federation Services (ADFS).

Чтобы включить федеративную аутентификацию, необходимо настроить отношение доверия с проверяющей стороной на стороне федеративного сервера (далее — ADFS), настроить подключение к серверу ADFS и установить для соответствующих аккаунтов способ аутентификации « Федеративная аутентификация».

Порядок настройки

  1. На сервере ADFS настройте отношение доверия с проверяющей стороной:

    • идентификатор проверяющей стороны (relying party identifier): URL-адрес экземпляра ПО Comindware Business Application Platform;
    • адрес пассивной конечной точки WS-Federation (ws-federation passive endpoint): URL-адрес экземпляра ПО (точка по умолчанию);
    • пользователь утверждений (claims): имя пользователя и (или) почтовый ящик.

    См. статью «Создание отношений доверия с проверяющей стороной» (документация Microsoft).

  2. В конфигурации экземпляра ПО включите федеративную аутентификацию (instancename — имя экземпляра ПО):

    Linux

    В файле /usr/share/comindware/configs/instance/instancename.yml измените директиву IsFederationAuthEnabled: 0 на IsFederationAuthEnabled: 1

    Windows

    В файле C:\ProgramData\Comindware\Instances\instancename\Config\instancename.yml измените директиву IsFederationAuthEnabled: 0 на IsFederationAuthEnabled: 1

  3. В экземпляре ПО откройте раздел «Администрирование» — «Подключения» и создайте подключение типа «Аутентификация через WS-Federation».

    Создание подключения к службе федеративной аутентификации

    Создание подключения к службе федеративной аутентификации

  4. Настройте свойства нового подключения:

    • Отключить аутентификацию — установите этот флажок, если требуется временно деактивировать вход в Систему посредством службы федеративной аутентификации.
    • Название — укажите наглядное название подключения.
    • Поставщик удостоверений — выберите пункт «AD FS».
    • URL метаданных федерации — укажите URL метаданных службы федерации, например: https://adfs.corp,mycompany.ru/federationmetadata/FederationMetadata.xml
    • Идентификатор проверяющей стороны — укажите URL-адрес сервера Comindware Business Application Platform (такой же идентификатор, как на шаге 1).
    • Домены электронной почты — список доменов, аккаунтам в которых разрешена аутентификация через данное подключение. Домены можно разделять пробелами, запятыми или точками с запятой.
    • Группа — выберите группу, для аккаунтов в которой будет действовать аутентификация через WS-Federation.

    Создание канала связи для федеративной аутентификации

    Создание канала связи для федеративной аутентификации

     

  5. На странице «Администрирование» — «Администрирование аккаунтов» выберите пункт «Аккаунты» .

  6. Установите для соответствующих аккаунтов способ аутентификации «Федеративная аутентификация».

    Установка метода проверки подлинности «Федеративная аутентификация» в настройках пользователя

    Установка метода проверки подлинности «Федеративная аутентификация» в настройках аккаунта

  7. На странице «Администрирование» — «Глобальная конфигурация» установите «URL-адрес сервера», совпадающий с идентификатор проверяющей стороны, см. пункт 1.

    Установка внешнего адреса сервера в глобальной конфигурации

    Установка внешнего адреса сервера в глобальной конфигурации

  8. Перезагрузите экземпляр ПО для инициализации подключения к службе федеративной аутентификации.

  9. Если настроено подключение к службе федеративной аутентификации и включена федеративная аутентификация, на странице входа появится кнопка «Войти с помощью AD FS».

    Страница входа в систему с кнопкой «Войти с помощью AD FS» при настроенной федеративной аутентификации

    Страница входа в систему с кнопкой «Войти с помощью AD FS» при настроенной федеративной аутентификации

  10. При нажатии кнопки «Войти с помощью AD FS» откроется страница входа на сервер ADFS.

  11. После успешной аутентификации откроется начальная страница экземпляра ПО. 

Внимание!

Если пользователь, у которого в аккаунте выбрана федеративная аутентификация, введёт свои учётные данные на исходной странице входа в Comindware Business Application Platform, а не на странице входа на сервер ADFS, произойдёт ошибка.

Примечание

Основные шаги аутентификации регистрируются в журнале аудита.

Связанные статьи

Глобальная конфигурация

Пути и содержимое папок экземпляра ПО 

Подсистема журналирования 

Создание отношений доверия с проверяющей стороной(документация Microsoft)

К началу


Номер Статьи: 2560
Размещено: Wed, Dec 20, 2023
Последнее обновление: Thu, Jun 13, 2024

Online URL: https://kb.comindware.ru/article/autentifikaciya-cherez-ws-federation-nastrojka-podklyucheniya-federativnogo-servera-i-globalnoj-konfiguracii-2560.html