Настроить федерацию на стороне Active Directory Federation Services

Последнее изменение: 27 апреля 2024

Настроить федерацию на стороне Active Directory Federation Services

к сведению

Настройка AD FS в этой инструкции описана на примере ОС Windows Server 2019, для других версий шаги могут отличаться.

Настраивать Active Directory Federation Services (AD FS) нужно в соответствии с рекомендациями компании Microsoft по развертыванию кластеров и прокси-серверов AD FS.

1. Настройте отношения доверия.
2. Настройте Claims Mapping.

Настроить отношения доверия⁠

1. На сервере AD FS откройте Server Manager.
2. В меню Tools выберите AD FS Management.
3. В блоке Actions выберите Relying Party Trust → Add Relying Party Trust.
4. На шаге Welcome выберите Claims aware.
5. Нажмите Start.
6. На шаге Select Data Source выберите Enter data about the relying party manually.
7. Нажмите Next.
8. В поле Display name введите имя для отношений доверия.
9. Нажмите Next.
10. Если при создании федерации вы отметили чекбокс Подписывать запросы аутентификации, на шаге Configure Certificate вставьте сертификат Selectel для подписи запросов, скачать его можно на странице федерации.
11. Нажмите Next.
12. На шаге Configure URL отметьте чекбокс Enable support for the SAML 2.0 WebSSO protocol и укажите URL, на который будут перенаправляться пользователи после аутентификации: https://api.selectel.ru/v1/auth/federations/<federation_id>/saml/acs. Укажите <federation_id> — ID федерации на стороне Selectel, посмотреть можно в панели управления: перейдите в раздел Управление доступом → Федерации → строка федерации → поле ID.
13. Нажмите Next.
14. На шаге Configure Identifiers укажите URL: https://api.selectel.ru/v1/federations/saml/<federation_id>
15. Нажмите Add → Next.
16. Опционально: на шаге Choose Access Control Policy укажите, кому будет доступна аутентификация с помощью этой федерации. По умолчанию выбрана политика Permit for everyone, которая разрешает доступ для всех пользователей.
17. На шаге Ready to Add Trust проверьте данные и нажмите Close.

Настроить Claims Mapping⁠

После успешной аутентификации в AD FS в Selectel придет SAML-сообщение. Чтобы верно идентифицировать пользователя, необходимо настроить соответствие данных пользователя элементам SAML-сообщения.

1. В консоли управления AD FS в блоке Relying Party Trusts нажмите правой кнопкой мыши на отношение доверия с проверяющей стороной и выберите Edit Claim Issuance Policy.

2. Нажмите Add Rule.

3. На шаге Choose Rule Type в поле Claim rule template выберите Send LDAP Attributes as Claims.

4. Нажмите Next.

5. На шаге Configure Claim Rule в поле Claim rule name введите имя правила.

6. В поле Attribute store выберите Active Directory.

7. В столбце LDAP Attribute укажите, что будет передаваться в качестве идентификатора пользователя (External ID). Можно указать:

   • User-Principal-Name — имя пользователя;
   • E-Mail-Addresses — email.

8. В столбце Outgoing Claim Type выберите Name ID.

9. Нажмите Finish → OK.