Indeed AM Management Console — это Web-приложение, которое работает на базе IIS. В данном модуле осуществляется администрирование системы, через которую производятся все настройки системы и пользователей.

Информация

Файлы для Management Console расположены: indeed AM <номер версии>/Indeed AM Management Console/<номер версии>.

  • IndeedAM.ManagementConsole-<номер версии>.x64.ru-ru.msi — пакет для установки Management Console.

Дополнительные файлы для установки Management Console расположены: indeed AM <номер версии>/Misc.

  • Server2008/Indeed.AdminConsole.IIS.Install.MSServer2008.ps1 — скрипт для установки необходимых компонентов IIS сервера для Windows Server 2008.
  • Server2008/NDP452-KB2901907-x86-x64-AllOS-ENU.exe — пакет с обновлением Microsoft .NET Framework 4.5.2 для Windows Server 2008.
  • Server2012/Indeed.AdminConsole.IIS.Install.MSServer2012.ps1 — скрипт для установки необходимых компонентов IIS сервера для Windows Server 2012.

Информация

Путь к Management Console в браузере: http(s)://<днс_сервера>/am/mc
Путь к Management Console в IIS: <имя_машины>\сайты\Default Web Site\am\mc

Установка

Информация

Для работы Indeed AM Management Console требуется установленный .NET Framework 4.8

  1. Выполнить установку Indeed AM Management Console через запуск соответствующего пакета.

    1. Информация

      Опциональная настройка. Генерация сертификата необходима при аутентификации в консоль администратора с использованием Indeed AM Identity Provider

      Данный сертификат не предназначен для организации SSL соединения. 

      Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. 

      По завершении установки будет предложено сгенерировать новый IDP сертификат.  Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.

  2. Добавить привязку https в настройках Default Web Site в IIS Manager.

    Информация

    Indeed AM Management Console является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.

    Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для Management Console.

    Также в этом случае необходимо в конфигурационном файле MC (C:\inetpub\wwwroot\am\mc\Web.config) изменить значение параметра requireSSL на false:

    Пример
    <httpCookies httpOnlyCookies="true" requireSSL="false" />
    1. Запустите IIS Manager и раскройте пункт Сайты (Sites).
    2. Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
    3. Нажмите Добавить (Add):
      1. Тип (Type) - https.
      2. Порт (Port) - 443.
      3. Выберите SSL-сертификат (SSL Certificate).

    4. Сохраните привязку.


Редактирование конфигурационного файла

  1. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\am\mc\Web.config).

    Информация

    Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора.

  2. Укажите URL для подключения к серверу Indeed AM для параметра Url в тэге amAuthServer.

    1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/am/core/

      Информация

      Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( am\mc\Config ).

      Пример
      <amAuthServer Url="https://amserv.indeed-id.local/am/core/"/>

  3. Задайте url для подключения к лог серверу. Редактируем тег logServer.

    1. URL - url для подключения к log серверу в формате http(s)://полное_dns_имя_сервера/ls/api.

      Примечание

      Если используется несколько серверов, указываем адрес балансировщика нагрузки.

      Информация

      Настройки связанные с сертификатом необходимы для настройки двухстороннего TLS соединения между сервером Indeed MC и Indeed AM Log Server.

      Информация

      Данную настройку не требуется указывать. В текущей версии системы Indeed AM не поддерживается работа 2-х стороннего TLS соединения.

    2. CertificateThumbprint - если закрытый ключ в реестре, а сертификат в хранилище компьютера.
    3. CertificateFilePath - если ключевая пара в pfx.
    4. CertificateFilePassword - пароль от pfx.
    Пример
    <logServer Url="http://log.indeed-id.local/ls/api/" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword=""/>
  4. После редактирования конфигурационных файлов перезапустите IIS сервер. Management Console будет доступен по адресу: "http(s)://полное_dns_имя_сервера/am/mc/"

Настройка срока жизни сессии

Информация

Данная настройка не является обязательной

Для увеличения или уменьшения срока жизни сессии в Management Console выполните следующие действия

  1. Откройте конфигурационный файл Indeed Management Console applicationSettings.config:  C:\inetpub\wwwroot\am\mc\Config\applicationSettings.config

  2. Для параметра "sessionExpirationTimeInMinutes" установите необходимое значение. Значение по умолчанию 30(минут).

    Пример
    <amApplicationSettings 
  findUsersMaxResultCount="200" 
  isIgnoreCertErrors="false" 
  sessionExpirationTimeInMinutes="60" 
  allowOverrideRandomPasswordGeneration="false"
/>
  3. Сохраните изменения.

Аутентификация с помощью Indeed AM Identity Provider 

Вы можете настроить аутентификацию в Management Console через модуль Indeed AM Identity Provider.

Настройка зависит от версии Indeed Access Manager: 

Вы можете настроить защищенный вход в Management Console с использованием Identity Provider.

Редактирование конфигурационного файла Management Console

Важно

Перед редактированием конфигурационного файла, выполните следующие действия:

  1. Запустите Диспетчер служб IIS,
  2. Выберите <имя сервера>→Sites→Default Web Siteam→mc.
  3. Выберите Проверка подлинности и включите опции Анонимная проверка подлинности и Проверка подлинности с помощью форм.
  1. Откройте конфигурационный файл web.config из C:\inetpub\wwwroot\am\mc\Web.config.

  2. В параметре amAuthentication выполните следующие действия:

    1. В строке mode укажите значение Saml

    2. В строке loginUrl укажите адрес Identity Provider в формате http(s)://полное_dns_имя_сервера/am/idp/

      Пример
      <amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/>

    3. В строке identityProviderCertificateThumbprint укажите отпечаток сертификата Identity Provider.

      Информация

      Если Identity Provider и Management Console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с модулем Identity Provider на сервер с Management Console. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.

      Чтобы получить отпечаток сертификата с помощью запроса PowerShell:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}

    4. В строке serviceProviderCertificateThumbprint укажите отпечаток сертификата Management Console, который был сгенерирован при установке пакета.

      Информация

      Сертификат устанавливается в хранилище сертификатов Local Machine→Personal с общем именем mcsp.

      Чтобы получить отпечаток сертификата с помощью запроса PowerShell:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

  3. Сохраните изменения и перезапустите IIS.

Редактирование конфигурационного файла Identity Provider

Важно

Перед редактированием конфигурационного файла, выполните следующие действия:

  1. Запустите Диспетчер служб IIS,
  2. Выберите <имя сервера>→Sites→Default Web Siteam→idp.
  3. Выберите Проверка подлинности и отключите опцию Проверка подлинности Windows.

  1. Откройте конфигурационный файл app-settings.json из C:\inetpub\wwwroot\am\idp.

  2. В параметре PartnerServiceProviderConfigurations выполните следующие действия: 
    1. В строке SingleLogoutServiceUrl укажите адрес сервера с компонентом Indeed AM Management Console в формате http(s)://полное_dns_имя_сервера/am/mc/Account/SLOService

    2. В строке Thumbprint укажите отпечаток сертификата Indeed AM Management Console.

      Информация

      Если Identity Provider и management console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с management console на сервер с модулем Identity Provider. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.

      Чтобы получить с помощью запроса PowerShell:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

      Пример
      "PartnerServiceProviderConfigurations": 
          {
            "Name": "urn:indeedid:emc",
            "SingleLogoutServiceUrl": "https://server.indeed.local/am/mc/Account/SLOService",
            "PartnerCertificates": [
              {
                "Thumbprint": "C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"
  3. Сохраните изменения и перезапустите IIS.

Настройка выхода из Management Console с использованием Identity Provider

  1. Откройте конфигурационный файл консоли web.config из C:\inetpub\wwwroot\am\mc\Web.config.

  2. В параметр amAuthentication добавьте параметр enableLogout со значением true (по умолчанию установлено значение false).

    Пример
    <amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/" enableLogout="true"/>
  3. Откройте конфигурационный файл Identity Provider app-settings.json из C:\inetpub\wwwroot\am\idp.

  4. Измените параметр PartnerServiceProviderConfigurations. В строке SingleLogoutServiceUrl укажите адрес сервера с компонентом Indeed AM Management Console в формате http(s)://полное_dns_имя_сервера/am/mc/Account/SLOService

    Пример
    "PartnerServiceProviderConfigurations": [
          {
            ...
            "SingleLogoutServiceUrl": "https://server01.test.local/am/mc/Account/SLOService",
            ...
            ]
          }

  5. Сохраните изменения и перезапустите IIS.

Чтобы настроить защищенный вход в Management Console, выполните следующие действия:

Информация

Данная настройка не является обязательной

  1. Откройте IIS Manager, выберете "Default Web Site -> am" и откройте приложение "mc".
  2. Откройте "Проверка подлинности" и включите следующие методы:
    1. Анонимная проверка подлинности.
    2. Проверка подлинности с помощью форм.
  3. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\am\mc\Web.config).

  4. В теге amAuthentication  выполните следующие:

    1. В параметре mode укажите значение Saml.

    2. В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/am/idp/ для подключения к серверу Indeed SAML.

      <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/am/idp/"/>

    3. В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM Management Console. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.

      Получение отпечатка сертификата Saml Idp через PS
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}

    4. В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM Management Console, который был сгенерирован при установке. 

      Информация

      Сертификат устанавливается в хранилище сертификатов (Local Machine -> Personal) с общем именем "mcsp".

      Получить его отпечаток можно с помощью PowerShell запроса:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

  5. Сохраните изменения в конфигурационном файле.

    Информация

    Для отключения запроса доменных логина и пароля необходимо отключить "Проверку подлинности Windows" в IIS для приложения idp на сервере SAML.

  6. Откройте конфигурационный файл Indeed AM Saml Idp Web.config (C:\inetpub\wwwroot\am\idp\Web.config).
  7. В теге amPartnerServiceProviderSettings укажите следующие: 
    1. В параметре EmcServiceUrl укажите URL сервера с компонентом Indeed AM Management Console в формате http(s)://полное_dns_имя_сервера/mc/

    2. В параметре EmcCertificateThumbprint укажите отпечаток сертификата Indeed AM Management Console. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM Management Console на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.

      Получение отпечатка сертификата Management Console через PS
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}
Пример
<amPartnerServiceProviderSettings SelfServiceUrl="SELF_SERVICE_URL" EmcServiceUrl="https://server.indeed.local/am/mc/" SelfServiceCertificateThumbprint="" EmcCertificateThumbprint="C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"/>

Чтобы настроить защищенный выход из Management Console, выполните следующие действия:

  1. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\am\mc\Web.config).

  2. Для тега amAuthentication добавьте параметр enableLogout со значение true (По умолчанию false).

    Пример
    <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/am/idp/" enableLogout="true"/>
  3. Откройте конфигурационный файл SAML Web.config (C:\inetpub\wwwroot\am\idp\Web.config).

  4. Для параметра EmcServiceUrl в теге amPartnerServiceProviderSettings укажите URL адрес сервера Management Console.

    Пример
    <amPartnerServiceProviderSettings SelfServiceUrl="http://dc.demo.local/am/uc/" EmcServiceUrl="http://dc.demo.local/am/mc/"/>

Настройка поиска по пользователям

Вы можете настроить поиск пользователей в Management Console по следующим запросам:

  • по имени
  • по фамилии
  • по логину
  • по имени пользователя в каталоге Active Directory
  • по имени и фамилии

Для настройки используйте файл userSearchSettings.config из папки C:\inetpub\wwwroot\am\mc\Config

searchTemplate в параметре задается шаблон поиска. Примеры допустимых шаблонов: *{0}, {0}*, *{0}* .
searchByGivenName поиск по имени. Значение по умолчанию true
searchBySn поиск по фамилии. Значение по умолчанию true
searchByUpn поиск по логину. Значение по умолчанию true
searchByGivenNameAndSn поиск по имени+фамилии и фамилии+имени. Значение по умолчанию true
searchByName поиск по name. Значение по умолчанию true

Для удобства поиска вы можете использовать шаблоны.

Пример запросаКомментарий

иван*

В зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, начинающиеся на «‎иван».

*ва*

В зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, содержащие «‎ва» в начале, середине или конце.
*новВ зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, заканчивающиеся на «‎нов».
иванЗапрос без * будет приведен к шаблону, который вы указали в параметре searchTemplate. Если шаблон searchTemplate не указан, то к запросу будут добавлены * с обеих сторон.
**
* * 
**иван
** иван**		Примеры неправильных запросов. Не возвращают результат поиска.

Отключение отображения информации о платформе и версии

Для того, чтобы не добавлять заголовки, содержащие информацию о платформе и версии, на которой разрабатывалось приложение, в response, нужно:

  1. Открыть конфигурационный файл Management Console C:\inetpub\wwwroot\am\mc\Web.config;
  2. В зависимости от версии IIS:

    1. Для IIS 10 перенести комментарий в секции "security" со 2 на 3 строчку: 

      Пример
      <security>
  <!--<requestFiltering removeServerHeader="true" >-->
  <requestFiltering>
    <requestLimits maxAllowedContentLength="104857600" />
  </requestFiltering>
</security>
    2. IIS старше 10: 
      • Установить URL Rewrite

      • В секцию <system.webServer> добавить:

        Пример
        <rewrite>
  <outboundRules>
    <rule name="replace server header" patternSyntax="Wildcard" lockItem="false">
      <match serverVariable="RESPONSE_SERVER" pattern="*" />
      <action type="Rewrite" value="MyServer" />
    </rule>
  </outboundRules>
</rewrite>




  • No labels