Indeed AM Admin Console

Indeed AM Admin Console - это Web-приложение, которое работает на базе IIS. В данном модуле осуществляется администрирование системы, через которую производятся все настройки системы и пользователей.

Установка

1. Выполнить установку Indeed AM Admin Console через запуск пакета для установки Admin Console.

   1. Информация

      Опциональная настройка. Генерация сертификата необходима при аутентификации в консоль администратора с использованием Indeed AM SAML IDP Provider. 

      Данный сертификат не предназначен для организации SSL соединения. 

      Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. 

      По завершению установки будет предложено сгенерировать новый IDP сертификат.  Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.

      

2. Добавить привязку https в настройках Default Web Site в IIS Manager.

   Информация

   Indeed AM Admin Console является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.

   Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для Admin Console.

1. Запустите IIS Manager и раскройте пункт Сайты (Sites).
2. Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
3. Нажмите Добавить (Add):
   
   1. Тип (Type) - https.
   2. Порт (Port) - 443.
   3. Выберите SSL-сертификат (SSL Certificate).

4. Сохраните привязку.

Редактирование конфигурационного файла.

1. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\iidemc\Web.config).

   Информация

   Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора.

2. Укажите URL для подключения к серверу Indeed AM для параметра Url в тэге amAuthServer.

1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/

   Информация

   Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidemc\Config ).

   Пример

   <amAuthServer Url="https://amserv.indeed-id.local/easerver"/>

3. Задайте url для подключения к лог серверу. Редактируем тег logServer.

   1. URL - url для подключения к log серверу в формате http(s)://полное_dns_имя_сервера/ls/api.

      Примечание

      Если используется несколько серверов, указываем адрес балансировщика нагрузки.

      Информация

      Настройки связанные с сертификатом необходимы для настройки двухстороннего TLS соединения между сервером Indeed MC и Indeed AM Log Server.

      Информация

      Данную настройку не требуется указывать. В текущей версии системы Indeed AM не поддерживается работа 2-х стороннего TLS соединения.

   2. CertificateThumbprint - если закрытый ключ в реестре, а сертификат в хранилище компьютера.
   3. CertificateFilePath - если ключевая пара в pfx.
   4. CertificateFilePassword - пароль от pfx.
   Пример

   <logServer Url="http://log.indeed-id.local/ls/api/" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword=""/>

4. После редактирования конфигурационных файлов перезапустите IIS сервер. Admin Console будет доступен по адресу: "http(s)://полное_dns_имя_сервера/iidemc/"

Настройка срока жизни сессии

Для увеличения или уменьшения срока жизни сессии в Admin Console выполните следующие действия

1. Откройте конфигурационный файл Indeed Admin Console applicationSettings.config:  C:\inetpub\wwwroot\iidemc\Config\applicationSettings.config

2. Для параметра "sessionExpirationTimeInMinutes" установите необходимое значение. Значение по умолчанию 30(минут).

   Пример

   <amApplicationSettings 
     findUsersMaxResultCount="200" 
     isIgnoreCertErrors="false" 
     sessionExpirationTimeInMinutes="60" 
     allowOverrideRandomPasswordGeneration="false"
   />

3. Сохраните изменения.

Настройка входа в Admin Console с использованием SAML IDP

1. Откройте IIS Manager, выберете "Default Web Site" и откройте приложение "iidemc".
2. Откройте "Проверка подлинности" и включите следующие методы:
   1. Анонимная проверка подлинности.
   2. Проверка подлинности с помощью форм.
3. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\iidemc\Web.config).

4. В теге amAuthentication  выполните следующие:

   1. В параметре mode укажите значение Saml.

   2. В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/iidsamlidp/ для подключения к серверу Indeed SAML.

      <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp"/>

   3. В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM Admin Console. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.

      Получение отпечатка сертификата Saml Idp через PS

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}

   4. В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM Admin Console, который был сгенерирован при установке. 

      Информация

      Сертификат устанавливает в хранилище сертификатов (Local Machine -> Personal) с общем именем "mcsp".

      Получить отпечаток можно с помощью Power Shell запроса:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

5. Сохраните изменения в конфигурационном файле.

   Информация

   Для отключения запроса доменного логин и пароля необходимо включить "Проверку подлинности Windows" для iidsamlidp, на сервере SAML.

6. Откройте конфигурационный файл Indeed AM Saml Idp Web.config (C:\inetpub\wwwroot\iidsamlidp\Web.config).
7. В тегt amPartnerServiceProviderSettings укажите следующие: 
   1. В параметре EmcServiceUrl укажите URL сервера с компонентом Indeed AM Admin Console в формате http(s)://полное_dns_имя_сервера/iidemc/

   2. В параметре EmcCertificateThumbprint укажите отпечаток сертификата Indeed AM Admin Console. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM Admin Console на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.

      Получение отпечатка сертификата Admin Console через PS

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

<amPartnerServiceProviderSettings SelfServiceUrl="SELF_SERVICE_URL" EmcServiceUrl="https://server.indeed.local/iidemc/" SelfServiceCertificateThumbprint="" EmcCertificateThumbprint="C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"/>

Настройка выхода из Admin Console при использованием SAML idp

1. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\iidemc\Web.config).

2. Для тега amAuthentication добавьте параметр enableLogout со значение true (По умолчанию false).

   Пример

   <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp/" enableLogout="true"/>

3. Откройте конфигурационный файл SAML Web.config (C:\inetpub\wwwroot\iidsamlidp\Web.config).

4. Для параметра EmcServiceUrl в теге amPartnerServiceProviderSettings укажите URL адрес сервера Admin Console.

   Пример

   <amPartnerServiceProviderSettings SelfServiceUrl="http://dc.demo.local/iidselfservice/" EmcServiceUrl="http://dc.demo.local/iidemc/"/>