Перейти к содержанию

Настройка федеративного канала аутентификации

Чтобы подключить ADFS:

1. Настройте Relying Party Trust (делается на стороне, в которой хранится информация):

  • relying party identifier: uri платформы;
  • ws-federation passive endpoint: uri платформы (дефолтная точка);
  • claims: имя пользователя и/или почтовый ящик.

2. Включите аутентификацию в платформе, установив соответствующий ключ в реестре. Для этого найдите в реестре (см. скриншот ниже) нужный экземпляр платформы, добавьте ключ  REG_DWORD “IsFederationAuthEnabled” и установите для него значение, не равное 0 (например, 1).

Добавление ключа к экземпляру платформы

3. Создайте канал федеративной аутентификации в разделе «Каналы связи», заполнив все обязательные поля (см. Добавление канала федеративной аутентификации):

  • URL метаданных федерации — ссылка на метаданные сервиса;
  • Идентификатор полагающейся стороны должен совпадать с идентификатором Relying Party Trust;
  • Домен электронной почты — список доменов, по которому устанавливается соответствие между конкретным пользователем и определенным каналом. Домены можно разделять символами “        “, “,” и “;”.

Создание нового канала связи

4. Установите нужным пользователям тип аутентификации «Федеративная  аутентификация». Стоит отметить, что это можно сделать только для уже созданного пользователя с почтовым адресом, домен которого содержится в списке доменов канала аутентификации. Установка метода проверки подлинности «Федеративная аутентификация» в настройках пользователя (см. скриншот ниже).

Установка метода проверки подлинности

5. В разделе «Глобальные настройки» установите «Внешний адрес сервера», он должен совпадать с идентификатором платформы в RPT. (см. скриншоты ниже)

Переход в раздел «Глобальные настройки»

Установка внешнего адреса сервера

6. После создания канала перезагрузите продукт, т.к. регистрация сервиса возможна только при инициализации приложения.

7. Если федеративный канал был создан и аутентификация включена, то на стартовой странице входа появится ссылка для федеративной аутентификации. Ссылка будет содержать имя федеративного канала (см. скриншот ниже). При переходе по этой ссылке произойдет переадресация на страницу входа ADFS. После успешной аутентификации произойдет переадресация на страницу платформы, причем пользователь будет аутентифицирован. При выходе из платформы (логаут) снова произойдет переадресация на страницу ADFS, а затем на страницу входа платформы.

Страница входа

Примечание : если пользователь с федеративным типом аутентификации введет свои данные в стандартную форму, то произойдет ошибка.

Основные шаги  аутентификации  пишутся в лог файл audit.log, поэтому в случае возникновения ошибок можно обратиться к этому логу.


Исследования осуществляются <br>ООО «Колловэар» при грантовой <br>поддержке Фонда «Сколково»
Comindware