Перейти к содержанию

Настройка федеративного канала аутентификации

Чтобы подключить ADFS:

1. Зайдите в «Server manager», затем перейдите в раздел «AD FS», далее нажмите «Add Relying Party Trust» и заполните поля:

  • relying party identifier: uri системы Comindware Business Application Platform;
  • ws-federation passive endpoint: uri системы (дефолтная точка, на которую попадает пользователь при логине и логауте);
  • claims: имя пользователя и/или почтовый ящик.

Затем в открывшемся окне на шаге «Choose Rule Type» в поле «Claim rule template» выберите значение «Send LDAP attributes as Claims» и нажмите «Next». 

Создание Relying Party Trust

Создание Relying Party Trust

2. На следующем шаге в поле «Claim rule name» введите название правила. Затем в поле «Attribute store» выберите систему, откуда будет браться атрибутивный состав, в нашем случае это Active Directory. Сразу после того как вы выберите атрибутивный состав, ниже появится таблица сопоставления атрибутов вашей системы с внешней. После настройки нажмите кнопку «Finish». 

Настройка Relying Party Trust

Настройка Relying Party Trust

3. Теперь снова зайдите в «Server manager», затем перейдите в раздел «AD FS», в открывшемся меню выберите папку «Relying Party Trust». Справа в разделе «Actions» выберите «Edit Claim issuance Policy», чтобы удостовериться, что все сделано верно. У вас должен получиться такой результат:

Проверка Relying Party Trust

Проверка Relying Party Trust

4. Включите аутентификацию в системе Comindware Business Application Platform, установив соответствующий ключ в реестре. Для этого найдите в реестре (см. скриншот ниже) нужный экземпляр системы, добавьте ключ «REG_DWORD “IsFederationAuthEnabled”» и установите для него значение, не равное 0 (например, 1).

Добавление ключа к экземпляру системы

Добавление ключа к экземпляру системы

5. Создайте в системе канал федеративной аутентификации в разделе «Каналы связи», заполнив все обязательные поля (см. Добавление канала федеративной аутентификации):

  • URL метаданных федерации — ссылка на метаданные сервиса;
  • Идентификатор полагающейся стороны должен совпадать с идентификатором Relying Party Trust;
  • Домен электронной почты — список доменов, по которому устанавливается соответствие между конкретным пользователем и определенным каналом. Домены можно разделять символами “        “, “,” и “;”.

Создание нового канала связи

Создание нового канала связи

6. Установите нужным пользователям тип аутентификации «Федеративная  аутентификация». Стоит отметить, что это можно сделать только для уже созданного пользователя с почтовым адресом, домен которого содержится в списке доменов канала аутентификации. Установка метода проверки подлинности «Федеративная аутентификация» в настройках пользователя (см. скриншот ниже).

Установка метода аутентификации

Установка метода аутентификации

5. В разделе «Глобальные настройки» установите «Внешний адрес сервера», он должен совпадать с идентификатором системы в Relying Party Trust. (см. скриншоты ниже)

Переход в раздел «Глобальные настройки»

Переход в раздел «Глобальные настройки»

Установка внешнего адреса сервера

Установка внешнего адреса сервера

7. После создания канала перезагрузите систему, т.к. регистрация сервиса возможна только при инициализации приложения.

8. Если федеративный канал был создан и аутентификация включена, то на стартовой странице входа появится ссылка для федеративной аутентификации. Ссылка будет содержать имя федеративного канала (см. скриншот ниже). При переходе по этой ссылке произойдет переадресация на страницу входа ADFS. После успешной аутентификации произойдет переадресация на страницу системы, причем пользователь будет аутентифицирован. При выходе из системы (логаут) снова произойдет переадресация на страницу ADFS, а затем на страницу входа системы.

Страница входа

Страница входа

Примечание : если пользователь с федеративным типом аутентификации введет свои данные в стандартную форму, то произойдет ошибка.

Основные шаги аутентификации пишутся в лог файл audit.log, поэтому в случае возникновения ошибок можно обратиться к этому логу.