Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Raketa Travel поддерживает технологию единого входа (single sign-on, SSO) через SAML 2.0. Поставщиком учётных данных (identity provider, IDP) SAML 2.0 может быть любая система, в том числе собственная инсталяция Active Directory Federation Services (ADFS) сервера. ADFS - это сервис, предоставляемый Microsoft, как стандартная роль Windows Server, которая предоставляет возможность входить в WEB-сервисы используя существующие данные аутентификации Active Directory (в большенстве случаев логин/пароль от доменной учётной записи).

1. Подготовка

Для использования ADFS необходимо иметь:

  • Сервер с запущенным Microsoft Windows Server. Скриншоты в этой инструкции сделаны с использованием версии 2016.
  • Инсталяию Active Directory, в которой все пользователи имеют заполненый email адрес.
  • SSL сертификат для вашей страницы входа ADFS

После удовлетворения базовых требований необходимо установить ADFS. Конфигурация и установка подробно описана в базе знаний Microsoft.

https://docs.microsoft.com/ru-ru/windows-server/identity/ad-fs/deployment/deploying-a-federation-server-farm

После полной установки ADFS посмотрите значение "SAML 2.0/W-Federation" в разделе "Конечные точки". Если вы не меняли настройки во время установки, то значение будет "/adfs/ls/".

2. Добавление Отношения доверия проверяющей стороны

В этот момент вы уже готовы настроить связь между ADFS и Raketa Travel. Эта связь устанавливается через "Отношения доверия проверяющей стороны".

image

Откройте директорию "Отношения доверия проверяющей стороны" в оснастке "Управление AD FS". На панеле действий выберите "Добавить отношения доверия проверяющей стороны". Это действие запустит мастер настройки.

image

На шаге "Выбор источника данных" выберите "Ввод данных о проверяющей стороне вручную"

image

На следующем шаге укажите любое желаемое имя и примечания.

image

Если на следующем шаге предлогается выбрать профиль - нужно выбрать "Профиль AD FS" ("AD FS profile").

На шаге "Настройка сертификата" сертификат не указывается.

image

На шаге "Настройка URL-адреса" включите поддержку протокола SAML 2.0 WebSSO и введите предоставленный нами URL. Этот URL будет в формате https://raketa.travel/sso/acs?clientId=YOUR_CLIENT_ID

image

На шаге "Настройка идентификатора" введите "https://raketa.travel" и нажмите кнопку "Добавить"

image

На следующих шагах вы можете настроить дополнительные параметры, применяемые к данному отношению.

3. Настройка политики подачи запросов

После создания Отношения доверия проверяющей стороны необходимо настроить политику подачи запросов. Для этого в контекстном меню отношения необходимо выбрать "Изменить политику подачи запросов".

image

image

В открывшемся окне необходимо добавить 2 правила.

Первое правило.

  • Шаблон правила: "Отправка атрибутов LDAP как утверждений".
  • Хранилище атрибутов: Active Directory.
  • Сопостовление: E-Mail-Addresses => Адрес электронной почты.

image

image

Второе правило.

  • Шаблон правила: "Преобразование входящего утверждения"
  • Тип входящего утверждения: "Адрес электронной почты"
  • Тип исходящего утверждения: "ИД имени"
  • Формат ИД исходящего имени: "Электронная почта"
  • "Пройти по всем значениям утверждений"

image

image

4. Дополнительная настройка утверждения

После настройки политик подачи запросов необходимо дополнительно настроить отношение. Для этого в контекстном меню отношения необходимо выбрать "Свойства".

image

На вкладке "Дополнительно" должен быть выставлен SHA-256 в качестве алгоритма хеширования.

image

На вкладке "Конечные точки" необходимо добавить точку завершения сеанса. Для этого нажать кнопку "Добавить SAML", в открывшемся окне:

image

image

5. Получение отпечатка сертификата подписи токена

Подтверждение входящих запросов на стороне Raketa Travel с использованием отпечатка токена подписи ADFS. Для его получения необходимо открыть консоль PowerShell от имени пользователя с правами администратора и выполнить команду

Get-AdfsCertificate Token-Signing

Из вывода необходимо предоставить строчку с отпечатком (Thumbprint).

image

  • Нет меток