Skip to main content

Создать OIDC-федерацию для AD FS

Last update:
  1. Настройте федерацию на стороне AD FS.
  2. Создайте федерацию на стороне Selectel.
  3. Добавьте идентификатор федерации Selectel в федерацию AD FS.

1. Настроить федерацию на стороне AD FS

  1. На сервере AD FS откройте Server Manager.

  2. Нажмите правой кнопкой мыши на раздел Application Group и выберите Add Application Group.

  3. На этапе Welcome:

    3.1. В поле Name введите имя для федерации.

    3.2. В блоке Templates выберите шаблон Server application accessing a web.

    3.3. Нажмите Next.

  4. На этапе Server application:

    4.1. Скопируйте и сохраните значение поля Client Identifier.

    4.2. В поле Redirect URI введите https://api.selectel.ru/v1/auth/federations/oidc/.

    4.3. Нажмите Next.

  5. На этапе Configure Application Credentials:

    5.1. Отметьте чекбокс Generate shared secret. Будет сгенерирован секрет.

    5.2. Нажмите Copy to clipboard и сохраните значение секрета. Посмотреть его позже будет нельзя.

    5.3. Нажмите Next.

  6. На этапе Apply Access Control Policy:

    6.1. Выберите политику доступа.

    6.2. Нажмите Next.

  7. На этапе Configure Application Permissions:

    7.1. В блоке Permitted scopes отметьте чекбоксы email, openid, profile.

    7.2. Нажмите Next.

  8. На этапе Summary нажмите Next.

  9. На этапе Complete нажмите Save.

2. Создать федерацию на стороне Selectel

  1. В панели управления в верхнем меню нажмите Аккаунт.

  2. Перейдите в раздел Федерации.

  3. Нажмите Добавить федерацию и выберите OpenID Connect (OIDC).

  4. В блоке Настройки федерации:

    4.1. Введите имя федерации.

    4.2. Опционально: введите описание федерации.

    4.3. Измените время жизни сессии, в течение которой будет авторизован пользователь без необходимости повторной аутентификации, или оставьте значение по умолчанию (24 часа). Вы можете указать значение от 1 до 720 часов.

  5. В блоке Настройки IDP:

    5.1. В поле IdP Issuer введите идентификатор поставщика удостоверений — https://<idp_url>/adfs. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.2. В поле Client ID введите идентификатор, который вы сохранили из поля Client Identifier при настройке федерации на стороне поставщика удостоверений на этапе 1.

    5.3. В поле Client Secret введите секрет, который вы получили при настройке федерации на этапе 1 в шаге 5.2.

    5.4. В поле Auth URL введите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO — https://<idp_url>/adfs/oauth2/authorize/. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.5. В поле Token URL введите токен-эндпоинт — https://<idp_url>/adfs/oauth2/token/. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.6. В поле JWSK URI введите эндпоинт с сертификатами — https://<idp_url>/adfs/discovery/keys. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.7. Чтобы пользователи создавались автоматически при первом входе в панель управления по SSO, отметьте чекбокс Автосоздание пользователей. Пользователи будут создаваться с разрешениями, которые вы указали при настройке маппинга групп пользователей. Если не настроить маппинг, пользователи будут создаваться без разрешений и не будут иметь доступа в панель управления.

3. Добавить идентификатор федерации Selectel в федерацию AD FS

  1. На сервере AD FS откройте Server Manager.
  2. В разделе Application Group откройте федерацию, которую вы настроили на стороне AD FS на этапе 1.
  3. В поле Redirect URI введите https://api.selectel.ru/v1/auth/federations/oidc/<federation_id>/callback. Укажите <federation_id> — ID федерации на стороне Selectel, можно посмотреть в панели управления: в верхнем меню нажмите Аккаунт → раздел Федерации и посмотрите значение в строке федерации в поле ID.
  4. Нажмите Save.