Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
На этой странице вы найдете информацию об установке и настройке модуля Indeed AM SAML IDP, который входит в состав дистрибутива Indeed AM Access Manager 8.1.4 и ниже.
Warning | ||
---|---|---|
| ||
По умолчанию Indeed AM SAML IDP настроен на использование Windows аутентификации, для вне доменных внедоменных сценариев требуется включить анонимную аутентификацию в IIS для idp. |
Info | ||
---|---|---|
| ||
Файлы для indeed Indeed AM SAML IDP расположены расположены: indeed AM <Номер <номер версии>\Indeed AM SAML IDP \<Номер <номер версии>\
|
Info | ||
---|---|---|
| ||
Путь к SAML IDP Identity Provider в браузере: http(s)://<днс_сервера>/am/idp |
Установка
- Выполните установку Indeed Indeed AM SAML IDP через запуск соответствующего пакета из дистрибутива.
По завершению требуется сгенерировать новый IDP сертификат. В хранилище сертификатов (Local Machine -> Personal) будет сгенерирован и установлен в новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.
Note title Информация Данный сертификат не предназначен для организации SSL-соединения.
Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок.
Добавить привязку https в настройках Default Web Site в IIS Manager.
Info title Информация Indeed AM SAML IDP является Identity Providerявляется Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.
Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для SAML IDP.
Также в этом случае необходимо в конфигурационном файле UC (C:\inetpub\wwwroot\am\idp\Web.config) изменить значение параметра requireSSL на false:
Code Block language xml title Пример <httpCookies httpOnlyCookies="true" requireSSL="false" />
- Запустите IIS Manager и раскройте пункт Сайты (Sites).
- Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
- Нажмите Добавить (Add):
- Тип (Type) - https.
- Порт (Port) - 443.
- Выберите SSL-сертификат (SSL Certificate).
Сохраните привязку.
Page properties | ||
---|---|---|
| ||
|
Редактирование конфигурационного файла
- Откройте конфигурационный файл SAML IDP файл Identity Provider Web.config (C:\inetpub\wwwroot\am\idp\Web.config).
Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.
Note title Информация При использовании https соединения требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.
Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/am/core/
Info title Информация Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( am\idp\Config ).
Code Block language xml title Пример <amAuthServer Url="https://amserv.indeed-id.local/am/core/"/>
Укажите URL для подключения к Indeed AM Log Server в формате http(s)://полное_dns_имя_сервера/ls/api для параметра Url в тэге logServer.
Code Block language xml title Пример <logServer Url="https://logserver.indeed-id.local/ls/api/" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword=""/>
Укажите отпечаток сертификата IDP, который был сгенерирован при установке, в теге "CertificateThumbprint" параметра "amIdentityProviderSettings".
Info title Информация Сертификат устанавливается в хранилище сертификатов (Local Machine -> Personal) с общим именем "idp".
Получить отпечаток можно с помощью Power Shell запроса:
Code Block language powershell Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}
В теге amAuthMethods укажите ID провайдера в формате:
Если для входа используется 1 провайдер.
Code Block language yml title Пример <amAuthMethod id="SMSOTP"> <amAuthProviders> <amAuthProvider id="ebb6f3fa-a400-45f4-853a-d517d89ac2a3" /> </amAuthProviders> </amAuthMethod>
Если для входа используется "цепочка" из провайдеров.
Note title Информация Если используется цепочка с Windows Password + провайдер:
- Windows Password был введен верно, произвольный провайдер неверно - в "История входов" пользователя будет отображаться успешный вход в SAML Identity Provider с помощью Windows в Indeed AM SAML IDP с помощью Windows Password.
- Windows Password был введен верно, произвольный провайдер верно - в "История входов" пользователя будет отображаться успешный вход с помощью провайдера пользователя.
Code Block language yml title Пример <amAuthMethod id="HOTP_Passcode_SMS"> <amAuthProviders> <amAuthProvider id="AD3FBA95-AE99-4773-93A3-6530A29C7556" /> <amAuthProvider id="F696F05D-5466-42b4-BF52-21BEE1CB9529" /> <amAuthProvider id="ebb6f3fa-a400-45f4-853a-d517d89ac2a3" /> </amAuthProviders> </amAuthMethod>
- Параметр id тега amAuthMethod - Произвольное уникальное значение.
Параметр id тега amAuthProvider - id используемого провайдера.
Info Параметр id тега amAuthProvider может иметь разные ID провайдеров:
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP
{093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP
{F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode
{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software OTP
{AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider
{CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - TOTP Provider
{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKeyProvider
{CF189AF5-01C5-469D-A859-A8F2F41ED153} - Windows Password
{CA4645CC-5896-485E-A6CA-011FCC20DF1D} - Telegram OTP
Аутентификации по имени пользователя без указания домена
В Indeed Indeed AM SAML IDP существует возможность выбирать домен из выпадающего списка.
Для включения настройки необходимо выполнить следующее:
Откройте конфигурационный файл SAML IDP Web.config (C:\inetpub\wwwroot\am\idp\Web.config).
В теге "amAuthDomains", добавьте теги "amAuthDomain" и для параметра "name", задайте значения необходимых доменов.
Code Block language yml title Пример <amAuthSet> <amAuthDomains> <amAuthDomain name="indeed.local"/> <amAuthDomain name="indeed-id.local"/> <amAuthDomain name="corp.local"/> <amAuthDomain name="dom.local"/> </amAuthDomains> ... </amAuthSet>
- По умолчанию выбирается домен, указанный первым в списке.
Включение защиты от перебора
Сервер Indeed AM поддерживает включение защиты от подбора УЗ пользователей для компонента Indeed AM SAML IDP. По умолчанию данная настройка отключена.
При включенной настройке злоумышленник не сможет определить валидные УЗ в домене по возвращаемой от компонента ошибке.
Для включения настройки необходимо выполнить следующее:
- Откройте конфигурационный файл сервера Indeed AM: C:\inetpub\wwwroot\am\core\Web.config
В теге "appSettings", для параметра "bruteForceProtectionApps", задайте значение "SAML Identity Provider".
Code Block language yml title Пример <appSettings> <add key="bruteForceProtectionApps" value="SAML Identity Provider" /> ... </appSettings>
- Сохраните изменения и перезапустите IIS сервер.
Интеграция с приложениями
- Identity Provider Login URL - http(s)://<полное_DNS_имя_сервера_Indeed_SAML>/am/idp/Account/SsoService
- Identity Provider Logout URL - http(s)://<полное_DNS_имя_сервера_Indeed_SAML>/am/idp/Account/Logout
- Identity Provider Name - urn:indeedid:saml_idp
Описание параметров конфигурационного файла saml.config:
- CertificateThumbprint - Указывается отпечаток сертификата SP, загруженный в личное хранилище компьютера, где развернут Indeed SAML idpAM Identity Provider.
- CertificateFile - Вместо отпечатка можно использовать путь к файлу сертификата.
- WantAuthnRequestSigned - Параметр указывает должен ли запрос аутентификации SAML быть подписанным. Значение по умолчанию: false.
- SignSAMLResponse - Параметр указывает должны ли быть подписаны ответы SAML, отправляемые SP. Значение по умолчанию: false.
- SignAssertion - Параметр указывает должны ли утверждения SAML быть подписаны. Значение по умолчанию: false.
- EncryptAssertion - Параметр указывает должны ли утверждения SAML шифроваться. Значение по умолчанию: false.
Пример работы расширения
- Для аутентификации в SAML откройте URL http(s)://полное_dns_имя_сервера/am/idp/
В появившемся окне аутентификации SAML нажмите "Back" для выбора способа аутентификации, по умолчанию используется последний используемый способ.
Info title Информация Если доступна "Проверка подлинности Windows" и выключена "Анонимная проверка подлинности" в методах аутентификации IIS, то логин пользователя подставляется автоматически без возможности изменить, и пробрасывается доменный пароль пользователя.
Если используется "Анонимная проверка подлинности" и выключена "Проверка подлинности Windows", то пользователь может изменить логин и потребуется ввод доменного пароля.
Выберите способ аутентификации и нажмите "Select".
Info title Информация Если у пользователя нет обученного аутентификатора, то выберите "Windows Password".
Введите пароль и нажмите "Sing in". Если ввод данных был успешный, то произойдет вход.
Отключение отображения информации о платформе и версии
Для того, чтобы не добавлять заголовки, содержащие информацию о платформе и версии, на которой разрабатывалось приложение, в response, нужно:
- Открыть конфигурационный файл SAML IDP C:\inetpub\wwwroot\am\idp\Web.config;
- В зависимости от версии IIS:
Для IIS 10 убрать комментарии со следующих строк:
Code Block language yml title Пример <security> <requestFiltering removeServerHeader="true" /> </security>
- IIS старше 10:
- Установить URL Rewrite
В секцию
<system.webServer>
добавить:Code Block language yml title Пример <rewrite> <outboundRules> <rule name="replace server header" patternSyntax="Wildcard" lockItem="false"> <match serverVariable="RESPONSE_SERVER" pattern="*" /> <action type="Rewrite" value="MyServer" /> </rule> </outboundRules> </rewrite>
Примеры внедрения расширения
Backtotop
Table of Contents | ||
---|---|---|
|