Сертификаты
При работе с федерациями используется два типа сертификатов:
- сертификат поставщиков удостоверений — сертификат, который выпускается на стороне поставщика удостоверений и добавляется при настройке федерации в панели управления. Без сертификата федерация работать не будет;
- сертификаты для подписи запросов — необязательный сертификат, который выпускается на стороне Selectel, если у федерации отмечен чекбокс Подписывать запросы аутентификации.
Сертификаты поставщиков удостоверений
Вы выпускаете сертификат у поставщика удостоверений и добавляете его в федерацию в Selectel. Сертификат используется для проверки подлинности данных при аутентификации пользователя в панели управления.
Вы можете создать федерацию без сертификата и добавить его позже, но федерация без сертификата работать не будет. Для одной федерации можно добавить до 10 сертификатов.
Если у федерации несколько сертификатов, они будут применяться последовательно: если время жизни сертификата истекло или он некорректен, будет применен следующий загруженный сертификат.
Выпустить сертификат у поставщика удостоверений
Keycloak
AD FS
- В панели управления Keycloak перейдите в раздел Realm settings → вкл�адка Keys.
- В строке RS256 нажмите Certificate.
- Скопируйте сертификат.
- На сервере AD FS откройте Server Manager.
- В меню Tools выберите AD FS Management.
- Откройте папку Services → Certificates.
- Нажмите правой кнопкой мыши на блок Token-signing → View Certificate.
- Откройте вкладку Details.
- Нажмите Copy to file → Next.
- Выберите формат Base-64 encoded X.509 (.CER).
- Нажмите Next.
- Введите имя для файла с сертификатом и выберите папку на устройстве, куда будет сохранен файл.
- Проверьте настройки.
- Нажмите Next.
- Нажмите Finish.
- Откройте файл и скопируйте содержимое сертификата.
Добавить сертификат
- В панели управления перейдите в раздел Управление доступом → Федерации.
- Откройте страницу федерации.
- В блоке Сертификаты IdP нажмите Добавить сертификат.
- Введите имя сертификата.
- Вставьте сертификат. Он должен начинаться с
-----BEGIN CERTIFICATE-----и заканчиваться-----END CERTIFICATE----- - Нажмите Добавить.
Удалить сертификат
- В панели управления перейдите в раздел Управление доступом → Федерации.
- Откройте страницу федерации.
- В блоке Сертификаты IdP в строке сертификата нажмите .
Сертификаты для подписи запросов
Сертификат для подписи запросов генерируется автоматически на стороне Selectel, если у федерации включена опция Подписывать запросы аутентификации.
Вы можете скачать сертификат и загрузить его при настройке федерации на стороне вашего поставщика удостоверений, подробнее в инструкциях Настроить федерацию на стороне Keycloak и Настроить федерацию на стороне Active Directory Federation Services.
Скачать сертификат для подписи запросов
- В панели управления перейдите в раздел Управление доступом → Федерации.
- Откройте страницу федерации.
- В поле Подписывать запросы аутентификации нажмите Скачать сертификат. Файл сертификата в формате
.crtбудет загружен на ваше устройство.