Перейти к содержанию

Настройка федеративной аутентификации

Чтобы добавить федеративную аутентификацию, необходимо настроить Relying Party Trust на стороне федеративного сервера (далее - ADFS), включить аутентификацию в платформе в файле Web.config, настроить федеративный канал связи и установить нужным пользователям метод аутентификации - “Федеративная аутентификация”: 

1. Настройте Relying Party Trust: 

  1. relying party identifier: uri платформы; 
  2. ws-federation passive endpoint: uri платформы (дефолтная точка); 
  3. claims: имя пользователя и/или почтовый ящик. 

2. Включите аутентификацию в платформе, установив соответствующий ключ в реестре. Для этого нужно найти в реестре нужный экземпляр платформы, добавить ключ REG_DWORD “IsFederationAuthEnabled” и установить для него значение, не равное 0 (например, 1): 

Установка аутентификации в реестре

3. Создайте канал федеративной аутентификации в разделе «Каналы связи», заполнив все его поля: 

  1. URL метаданных федерации - ссылка на метаданные сервиса. 
  2. Идентификатор полагающейся стороны должен совпадать с идентификатором Relying Party Trust. 
  3. Домен электронной почты - список доменов, по которому устанавливается соответствие между конкретным пользователем и определенным каналом. Домены можно разделять символами “  “, “,” и “;”. 

Создание канала связи для федеративной аутентификации

4. Установите нужным пользователям тип аутентификации “Федеративная аутентификация”. Стоит отметить, что это можно сделать только для уже созданного пользователя с почтовым адресом, домен которого содержится в списке доменов канала аутентификации. 

Установка метода проверки подлинности "Федеративная аутентификация" в настройках пользователя

5. В разделе «Глобальные настройки» установите «Внешний адрес сервера», он должен совпадать с идентификатором платформы в RPT.

Переход  в раздел "Глобальные настройки"

Установка внешнего адреса сервера в глобальных настройках

6. После создания канала необходимо перезагрузить платформу, т.к. регистрация сервиса возможна только при инициализации приложения.  

7. Если федеративный канал был создан и аутентификация включена, то на стартовой странице входа появится ссылка для федеративной аутентификации. Ссылка будет содержать имя федеративного канала. При переходе по этой ссылке произойдет переадресация на страницу входа ADFS. После успешной аутентификации произойдет переадресация на страницу платформы, причем пользователь будет аутентифицирован. При выходе из платформы (логаут) снова произойдет переадресация на страницу ADFS, а затем на страницу входа платформы. Стоит отметить, что если пользователь с федеративным типом аутентификации введет свои данные в стандартную форму, то произойдет ошибка.

Фрагмент экрана авторизации при настроенной федеративной аутентификации

7. Основные шаги аутентификации пишутся в лог файл audit.log, поэтому в случае возникновения ошибок можно обратиться к этому логу.


Исследования осуществляются <br>ООО «Колловэар» при грантовой <br>поддержке Фонда «Сколково»
Comindware