Versions Compared

Old Version 32

changes.mady.by.user Lyazat Shabalina

Saved on

compared with

New Version Current

changes.mady.by.user Lyazat Shabalina

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Indeed AM User Console - это Web-приложение, которое работает на базе IIS. В данном модуле пользователь может осуществлять управление своими аутентификаторами. 

Info
titleИнформация

Файлы для indeed AM User Console расположены: indeed AM <номер версии>|Indeed AM User Console|<номер версии>.

IndeedAM.UserConsole-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed AM User Console.


Info
titleИнформация

Путь к User Console в браузере: http(s)://<днс_сервера>/am/uc
Путь к User Console в IIS: <имя_машины>\сайты\Default Web Site\am\uc

Установка 

  1. Выполнить установку Indeed AM User Console через запуск соответствующего пакета.


    1. Note
      titleИнформация

      Опциональная настройка. Генерация сертификата необходима при аутентификации в Indeed AM User Console с использованием Indeed AM Identity Provider

      Данный сертификат не предназначен для организации SSL соединения. 

      Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. 

      По завершении установки будет предложено сгенерировать новый IDP сертификат.  Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.


  2. Добавить привязку https в настройках Default Web Site в IIS Manager.

    Info
    titleИнформация

    User Console является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.

    Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для User Console.

    Также в этом случае необходимо в конфигурационном файле UC (C:\inetpub\wwwroot\am\uc\Web.config) изменить значение параметра requireSSL на false:

    Code Block
    languagexml
    titleПример
    <httpCookies httpOnlyCookies="true" requireSSL="false" />



    1. Запустите IIS Manager и раскройте пункт Сайты (Sites).
    2. Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
    3. Нажмите Добавить (Add):
      1. Тип (Type) - https.
      2. Порт (Port) - 443.
      3. Выберите SSL-сертификат (SSL Certificate).

    4. Сохраните привязку.

Настройка

Info
titleИнформация

Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора.

По умолчанию компонент Indeed AM User Console настроен на использование SAML аутентификации, при необходимости можно настроить прозрачную Windows аутентификацию.

Аутентификация с Windows Authentication 

  1. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).

  2. Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.

    1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/am/core/

      Info
      titleИнформация

      Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( am\uc\Config ).


      Code Block
      languagexml
      titleПример
      <amAuthServer Url="https://amserv.indeed-id.local/am/core/"/>


  3. Запустите IIS Manager, выберите "Default Web Site -> am" и откройте приложение "uc".
  4. Откройте "Проверка подлинности" и включите следующие методы:
    1. Олицетворение ASP.NET.
    2. Проверка подлинности Windows.
  5. Отключите все остальные методы.
  6. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).

  7. Для тега "amAuthentication" в параметре "mode" укажите "Windows".

    Info
    titleИнформация

    Параметр "loginUrl" оставьте без изменений, при использовании Windows аутентификации данный параметр не учитывается. 


    Code Block
    languageyml
    titleПример
    <amAuthentication mode="Windows" loginUrl="" identityProviderCertificateThumbprint="" serviceProviderCertificateThumbprint="" enableLogout="true"/>


  8. Перезапустите IIS сервер. User Console будет доступен по адресу: "http(s)://полное_dns_имя_сервера/am/uc/".

Anchor
signin_with_idp
signin_with_idp
Аутентификация с помощью

Identity Provider (ранее SAML IDP)

Indeed AM Identity Provider 

Вы можете настроить аутентификацию в User Console через модуль Indeed AM Identity Provider (ранее SAML IDP).

Настройка зависит от версии Indeed Access Manager: 


Expand
titleНастройка аутентификации для Indeed Access Manager 8.1.5 и выше

Вы можете настроить защищенный вход в User Console с использованием Identity Provider.

Редактирование конфигурационного файла User Console

Info
titleВажно

Перед редактированием конфигурационного файла, выполните следующие действия:

  1. Запустите Диспетчер служб IIS,
  2. Выберите <имя сервера>→Sites→Default Web Siteam→uc.
  3. Выберите Проверка подлинности и включите опции Анонимная проверка подлинности и Проверка подлинности с помощью форм.
  1. Откройте конфигурационный файл web.config из C:\inetpub\wwwroot\am\uc\Web.config.

  2. В параметре amAuthServer Url укажите адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/am/core/

    Code Block
    languagexml
    titleПример
    <amAuthServer Url="https://amserv.indeed-id.local/am/core/"/>


  3. В параметре amAuthentication выполните следующие действия:

    1. В строке mode укажите значение Saml.

    2. В строке loginUrl укажите адрес Identity Provider в формате http(s)://полное_dns_имя_сервера/am/idp/

      Code Block
      languagexml
      titleПример
      <amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/>


    3. В строке identityProviderCertificateThumbprint укажите отпечаток сертификата Identity Provider.

      Info
      titleИнформация

      Если Identity Provider и User Console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с модулем Identity Provider на сервер с User Console. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.


      Чтобы получить отпечаток сертификата с помощью запроса PowerShell:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}


    4. В строке serviceProviderCertificateThumbprint укажите отпечаток сертификата User Console, который был сгенерирован при установке пакета.

      Info
      titleИнформация

      Сертификат устанавливается в хранилище сертификатов Local Machine→Personal с общем именем ucsp.


      Чтобы получить отпечаток сертификата с помощью запроса PowerShell:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}


  4. Сохраните изменения и перезапустите IIS.

Редактирование конфигурационного файла Identity Provider

Info
titleВажно

Перед редактированием конфигурационного файла, выполните следующие действия:

  1. Запустите Диспетчер служб IIS,
  2. Выберите <имя сервера>→Sites→Default Web Siteam→idp.
  3. Выберите Проверка подлинности и отключите опцию Проверка подлинности Windows.

  1. Откройте конфигурационный файл app-settings.json из C:\inetpub\wwwroot\am\idp.

  2. В параметре PartnerServiceProviderConfigurations выполните следующие действия: 
    1. В строке SingleLogoutServiceUrlукажите адрес сервера, где вы развернули User Console, в формате http(s)://полное_dns_имя_сервера/am/uc/Account/SLOService

    2. В строке Thumbprint укажите отпечаток сертификата User Console.

      Info
      titleИнформация

      Если Identity Provider и User Console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера развернутым User Console на сервер с модулем Identity Provider. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.


      Чтобы получить с помощью запроса PowerShell:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}


      Code Block
      languagexml
      titleПример
      "PartnerServiceProviderConfigurations": 
          {
            "Name": "urn:indeedid:emcselfservice",
            "SingleLogoutServiceUrl": "https://server.indeed.local/am/uc/Account/SLOService",
            "PartnerCertificates": [
              {
                "Thumbprint": "C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"


  3. Сохраните изменения и перезапустите IIS.

Настройка выхода из User Console с использованием Identity Provider

  1. Откройте конфигурационный файл консоли web.config из C:\inetpub\wwwroot\am\uc\Web.config.

  2. В параметр amAuthentication добавьте параметр enableLogout со значением true (по умолчанию установлено значение false).

    Code Block
    languagexml
    titleПример
    <amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/" enableLogout="true"/>


  3. Откройте конфигурационный файл Identity Provider app-settings.json из C:\inetpub\wwwroot\am\idp.

  4. Измените параметр PartnerServiceProviderConfigurations. В строке SingleLogoutServiceUrlукажите адрес сервера с компонентом Indeed AM Management User Console в формате http(s)://полное_dns_имя_сервера/am/mcuc/Account/SLOService

    Code Block
    languagexml
    titleПример
    "PartnerServiceProviderConfigurations": [
          {
            ...
            "SingleLogoutServiceUrl": "https://server01.test.local/am/mcuc/Account/SLOService",
            ...
            ]
          }


  5. Сохраните изменения и перезапустите IIS.


Expand
titleНастройка аутентификации для Indeed Access Manager 8.1.4 и ниже
  1. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).
  2. Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.

    1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/am/core/

      Информация

      Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( am\uc\Config ).
      Пример

      <amAuthServer Url="https://amserv.indeed-id.local/am/core/"/>


  3. Запустите IIS Manager, выберите "Default Web Site -> am" и откройте приложение "uc".
  4. Откройте "Проверка подлинности" и включите следующие методы:
    1. Анонимная проверка подлинности.
    2. Проверка подлинности с помощью форм.
  5. Отключите все остальные методы.
  6. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).

  7. В теге amAuthentication  выполните следующие:

    1. В параметре mode укажите значение Saml.

    2. В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/am/idp/ для подключения к серверу Indeed SAML.

      <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/am/idp/"/>


    3. В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM User Console. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
      Получение отпечатка сертификата Saml Idp через PS

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}


    4. В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM User Console, который был сгенерирован при установке.

      Информация

      Сертификат устанавливается в хранилище сертификатов (Local Machine -> Personal) с общем именем "ucsp".

      Получить его отпечаток можно с помощью PowerShell запроса:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}


    5. Параметр enableLogout (Не обязательный) - включает возможность выполнять выход из User Console.
      Пример

      <amAuthentication mode="Saml" loginUrl="https://logserver.indeed.local/am/idp/" identityProviderCertificateThumbprint="C72DF64AE6E039445C8ED53FD83F75A9A2BA37E9" serviceProviderCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" enableLogout="true"/>


  8. Откройте конфигурационный файл Indeed AM Saml Idp Web.config (C:\inetpub\wwwroot\am\idp\Web.config).
    1. В тегt amPartnerServiceProviderSettings укажите следующие: 
      1. В параметре SelfServiceUrl укажите URL сервера с компонентом Indeed AM User Console в формате http(s)://полное_dns_имя_сервера/am/uc/

      2. В параметре SelfServiceCertificateThumbprint укажите отпечаток сертификата Indeed AM User Console. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM User Console на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
        Получение отпечатка сертификата User Console через PS

        Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}



    Пример

    <amPartnerServiceProviderSettings SelfServiceUrl="https://server.indeed.local/am/uc/" EmcServiceUrl="" SelfServiceCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" EmcCertificateThumbprint=""/>


  9. Сохраните изменения в конфигурационных файлах и перезапустите IIS сервера с Indeed AM Saml и с Indeed AM User Console. 

Включение защиты от перебора

Сервер Indeed AM поддерживает включение защиты от подбора УЗ пользователей для компонента Indeed AM Identity Provider (ранее Indeed AM SAML Idp). По умолчанию данная настройка отключена.

При включенной настройке злоумышленник не сможет определить валидные УЗ в домене по возвращаемой от компонента ошибке. 

Настройка зависит от версии Indeed AM Access Manager: 

Expand
titleНастройка защиты от перебора с использованием Identity Provider (Indeed Access Manager 8.1.5 и выше)
  1. Откройте конфигурационный файл сервера Indeed AM Web.configиз C:\inetpub\wwwroot\am\core.

  2. В параметре appSettings в строке bruteForceProtectionApps укажите значения Self Service и Identity Provider

    Code Block
    languageyml
    titleПример
    <appSettings>
    ...
    <add key="bruteForceProtectionApps" value="Self Service, Identity Provider" />
     ...
</appSettings>


  3. Сохраните изменения и перезапустите IIS сервер. 


Expand
titleНастройка защиты от перебора с использованием Indeed AM SAML Idp (Indeed Access Manager 8.1.4 и ниже)
  1. Откройте конфигурационный файл сервера Indeed AM: C:\inetpub\wwwroot\am\core\Web.config

  2. В теге "appSettings", для параметра "bruteForceProtectionApps", задайте значения "Self Service" и "SAML Identity Provider". 

    Code Block
    languageyml
    titleПример
    <appSettings>
    ...
    <add key="bruteForceProtectionApps" value="Self Service, SAML Identity Provider" />
     ...
</appSettings>


  3. Сохраните изменения и перезапустите IIS сервер. 

Настройка срока жизни сессии

Info
titleИнформация

Данная настройка не является обязательной

Для увеличения или уменьшения срока жизни сессии в Admin Console выполните следующие действия

  1. Откройте конфигурационный файл Indeed Admin Console applicationSettings.config:  C:\inetpub\wwwroot\am\uc\Config\applicationSettings.config

  2. Для параметра "sessionExpirationTimeInMinutes" установите необходимое значение. Значение по умолчанию 30(минут).

    Code Block
    titleПример
    <?xml version="1.0"?>
<amApplicationSettings isIgnoreCertErrors="false" sessionExpirationTimeInMinutes="30"/>


  3. Сохраните изменения.


Вход в User Console с использованием

SAML

Indeed AM Identity Provider

  1. Откройте в браузере Web интерфейс консоли User Console.

  2. В появившемся окне аутентификации SAML аутентификации нажмите "Back" для выбора способа аутентификации, по умолчанию используется последний используемый способ.


  3. Выберите способ аутентификации и нажмите "Select". 

    Info
    titleИнформация

    Если у пользователя нет обученного аутентификатора, то выберите "Windows Password".


    Note
    titleИнформация

    Выход в сессии пользователя из SAML idp Identity Provider не влечет за собой выход пользователя из User Console, до перезапуска браузера или истечения срока хранения cookie. Время хранения cookie для SAML idp Identity Provider - 30 минут.


  4. Введите пароль и нажмите "Sing in". Если ввод данных был успешный, то отобразится карточка пользователя.

  5. Для выхода из User Console выполните:

    Note
    titleИнформация

    Данная опция будет активна если в пункте 3.b раздела "Установка", был настроен параметр enableLogout. По умолчанию отключена.


    1. Нажмите на имя пользователя в верхней части окна.

    2. Выберите "Выйти" из выпадающего списка.

      Info
      titleИнформация

      При выходе из User Console происходит автоматический выход из SAML idpIdentity Provider.



Отключение отображения информации о платформе и версии

Для того, чтобы не добавлять заголовки, содержащие информацию о платформе и версии, на которой разрабатывалось приложение, в response, нужно:

  1. Открыть конфигурационный файл User Console C:\inetpub\wwwroot\am\uc\Web.config;
  2. В зависимости от версии IIS:

    1. Для IIS 10 убрать комментарии со следующих строк:

      Code Block
      languageyml
      titleПример
       <security>
      <requestFiltering removeServerHeader="true" />
   </security>


    2. IIS старше 10: 
      • Установить URL Rewrite

      • В секцию <system.webServer> добавить:

        Code Block
        languageyml
        titleПример
        <rewrite>
  <outboundRules>
    <rule name="replace server header" patternSyntax="Wildcard" lockItem="false">
      <match serverVariable="RESPONSE_SERVER" pattern="*" />
      <action type="Rewrite" value="MyServer" />
    </rule>
  </outboundRules>
</rewrite>




Backtotop
 


Table of Contents
classrightFloat