Настроить федерацию на стороне Active Directory Federation Services
Настройка AD FS в этой инструкции описана на примере ОС Windows Server 2019, для других версий шаги могут отличаться.
Настраивать Active Directory Federation Services (AD FS) нужно в соответствии с рекомендациями компании Microsoft по развертыванию кластеров и прокси-серверов AD FS.
- Настройте отношения доверия.
- Если при создании федерации вы отметили чекбокс Подписывать запросы аутентификации, загрузите сертификат для подписи запросов.
- Настройте Claims Mapping.
1. Настроить отношения доверия
-
На сервере AD FS откройте Server Manager.
-
В меню Tools выберите AD FS Management.
-
В блоке Actions выберите Relying Party Trust → Add Relying Party Trust.
-
На шаге Welcome:
4.1. Выберите Claims aware.
4.2. Нажмите Start.
-
На шаге Select Data Source:
5.1. Выберите Enter data about the relying party manually.
5.2. Нажмите Next.
-
На шаге Specify Display Name:
6.1. В поле Display name введите имя для отношений доверия.
6.2. Нажмите Next.
-
На шаге Configure Certificate:
7.1. Если при создании федерации вы отметили чекбокс Подписывать запросы аутентификации, скачайте сертификат для подписи запросов и вставьте его.
7.2. Нажмите Next.
-
На шаге Configure URL:
8.1. Отметьте чекбокс Enable support for the SAML 2.0 WebSSO protocol.
8.2. В поле URL введите адрес, на который будут перенаправляться пользователи после аутентификации, —
https://api.selectel.ru/v1/auth/federations/<federation_id>/saml/acs
.Укажите
<federation_id>
— ID федерации на стороне Selectel, можно посмотреть в панели управления: в верхнем меню нажмите Аккаунт → раздел Федерации → строка федерации → поле ID.8.3. Нажмите Next.
-
На шаге Configure Identifiers:
9.1. Введите поле URL введите адрес —
https://api.selectel.ru/v1/federations/saml/<federation_id>
.9.2. Нажмите Add → Next.
-
На шаге Choose Access Control Policy:
10.1. Опционально: укажите, кому будет доступна аутентификация с помощью этой федерации. По умолчанию выбрана политика Permit for everyone, которая разрешает доступ для всех пользователей.
10.2. Нажмите Next.
-
На шаге Ready to Add Trust:
11.1. Проверьте данные.
11.2. Нажмите Close.
2. Загрузить сертификат для подписи запросов
Сертификат для подписи запросов нужно загрузить, если при создании федерации вы отметили чекбокс Подписывать запросы аутентификации.
- На сервере AD FS откройте папку Service → Relaying Party Trust.
- Нажмите на созданный Relaying Party Trust.
- Справа в разделе Actions в блоке с именем созданного Relying Party Trust нажмите Properties.
- Откройте вкладку Signature.
- Нажмите Add.
- Загрузите сертификат для подписи запросов, который вы скачали при настройке отношений доверия на шаге 7.1.
3. Настроить Claims Mapping
После успешной аутентификации в AD FS в Selectel придет SAML-сообщение. Чтобы верно идентифицировать пользователя, необходимо настроить соответствие данных пользователя элементам SAML-сообщения.
-
На сервере AD FS откройте папку Service → Relying Party Trusts.
-
Нажмите правой кнопкой мыши на ваш Relying Party Trusts и выберите Edit Claim Issuance Policy.
-
Нажмите Add Rule.
-
На шаге Choose Rule Type:
4.1. В поле Claim rule template выберите Send LDAP Attributes as Claims.
4.2. Нажмите Next.
-
На шаге Configure Claim Rule:
5.1. В поле Claim rule name введите имя правила.
5.2. В поле Attribute store выберите Active Directory.
5.3. В столбце LDAP Attribute укажите, что будет передаваться в качестве идентификатора пользователя (External ID). Можно указать:
- User-Principal-Name — имя пользователя;
- E-Mail-Addresses — email.
5.4. В столбце Outgoing Claim Type выберите Name ID.
-
Нажмите Finish → OK.