Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

ADFS – это сервис, предоставляемый Microsoft как стандартная роль Windows Server. Она предоставляет возможность входить в WEB-сервисы, используя существующие данные аутентификации Active Directory. В большинстве случаев это логин/пароль от доменной учётной записи.

1. Подготовка

Для использования ADFS необходимо иметь:

...

После удовлетворения базовых требований установите ADFS. Конфигурация и установка подробно описаны в базе знаний Microsoft:
https://docs.microsoft.com/ru-ru/windows-server/identity/ad-fs/deployment/deploying-a-federation-server-farm

После полной установки ADFS посмотрите значение "SAML 2.0/W-Federation" в разделе "Конечные точки". Если вы не меняли настройки во время установки, то значение будет "/adfs/ls/".

2. Добавление Отношения доверия проверяющей стороны

В этот момент вы уже готовы настроить связь между ADFS и Raketa Travel. Эта связь устанавливается через Отношения доверия проверяющей стороны.

Image RemovedImage Added

imageImage Removed

Откройте директорию "Отношения доверия проверяющей стороны" в оснастке "Управление AD FS". На панели действий выберите "Добавить отношения доверия проверяющей стороны". Это действие запустит мастер настройки.

imageImage RemovedImage Added

На шаге "Выбор источника данных" выберите "Ввод данных о проверяющей стороне вручную".

imageImage RemovedImage Added

На следующем шаге укажите любое желаемое имя и примечания.

imageImage RemovedImage Added

Если на следующем шаге предлагается выбрать профиль, выберите "Профиль AD FS" ("AD FS profile").

На шаге "Настройка сертификата", дополнительный сертификат указывать не нужно.

imageImage RemovedImage Added

На шаге "Настройка URL-адреса" включите поддержку протокола SAML 2.0 WebSSO и введите предоставленный нами URL логина в формате https://raketa.travel/sso/acs?clientId=YOUR_CLIENT_ID

imageImage RemovedImage Added

На шаге "Настройка идентификатора" введите "https://raketa.travel" и нажмите кнопку "Добавить".

imageImage RemovedImage Added

На следующих шагах вы можете настроить дополнительные параметры, применяемые к данному Отношению.

3. Настройка политики подачи запросов

После создания Отношения доверия проверяющей стороны необходимо настроить политику подачи запросов. Для этого в контекстном меню Отношения выберите "Изменить политику подачи запросов".

imageImage RemovedImage Added

imageImage RemovedImage Added

В открывшемся окне необходимо добавить 2 правила.

...

  • Шаблон правила: Отправка атрибутов LDAP как утверждений.
  • Хранилище атрибутов: Active Directory.
  • Сопоставление: E-Mail-Addresses → Адрес электронной почты.

imageImage RemovedImage Added

imageImage RemovedImage Added

Второе правило.

  • Шаблон правила: Преобразование входящего утверждения.
  • Тип входящего утверждения: Адрес электронной почты.
  • Тип исходящего утверждения: ИД имени.
  • Формат ИД исходящего имени: Электронная почта.
  • Пройти по всем значениям утверждений – выбрано.

imageImage RemovedImage Added

imageImage RemovedImage Added

4. Дополнительная настройка Отношения доверия

После настройки политик подачи запросов необходимо дополнительно настроить Отношение. Для этого в контекстном меню Отношения выберите "Свойства".

imageImage RemovedImage Added

На вкладке "Дополнительно" убедитесь, что выставлен алгоритм хеширования SHA-256.

imageImage RemovedImage Added

На вкладке "Конечные точки" добавьте точку завершения сеанса. Для этого нажмите кнопку "Добавить SAML". В открывшемся окне укажите:

imageImage RemovedImage Added

imageImage RemovedImage Added

5. Получение отпечатка сертификата подписи токена

Подтверждение входящих запросов на стороне Raketa Travel происходит с использованием отпечатка токена подписи ADFS. Для его получения откройте консоль PowerShell от имени пользователя с правами администратора и выполните команду

...

Вы найдете отпечаток в строке вывода Thumbprint.

imageImage RemovedImage Added