Versions Compared

Old Version 20

changes.mady.by.user Vladislav Fomichev

Saved on

compared with

New Version Current

changes.mady.by.user Vladislav Fomichev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Indeed AM Admin Console - это Web-приложение, которое работает на базе IIS. В данном модуле осуществляется администрирование системы, через которую производятся все настройки системы и пользователей.

Info
titleИнформация

Файлы для Admin Console расположены: indeed AM <Номер версии>\Indeed AM Admin Console\<Номер версии>\

  • Indeed.EMC-<номер версии>.x64.ru-ru.msi - Пакет для установки Admin Console.

Дополнительные файлы для установки Admin Console расположены: indeed AM <Номер версии>\Misc\

  • Server2008\Indeed.AdminConsole.IIS.Install.MSServer2008.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2008.
  • Server2008\NDP452-KB2901907-x86-x64-AllOS-ENU.exe - Пакет с обновлением Microsoft .NET Framework 4.5.2 для Windows Server 2008.
  • Server2012\Indeed.AdminConsole.IIS.Install.MSServer2012.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2012.

Установка

  1. Выполнить установку Indeed AM Admin Console через запуск пакета для установки Admin Console.


    1. Note
      titleИнформация

      Опциональная настройка. Генерация сертификата необходима при аутентификации в консоль администратора с использованием Indeed AM SAML IDP Provider

      Данный сертификат не предназначен для организации SSL соединения. 

      Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. 

      По завершению установки будет предложено сгенерировать новый IDP сертификат.  Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.

  2. Добавить привязку https в настройках Default Web Site в IIS Manager.

    Info
    titleИнформация

    Indeed AM Admin Console является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.

    Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для Admin Console.


    1. Запустите IIS Manager и раскройте пункт Сайты (Sites).
    2. Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
    3. Нажмите Добавить (Add):
      1. Тип (Type) - https.
      2. Порт (Port) - 443.
      3. Выберите SSL-сертификат (SSL Certificate).

    4. Сохраните привязку.


Page properties
hiddentrue
  1. Настроить делегирование Kerberos для компьютера с установленным приложением Indeed AM Admin Console.

  2. Добавить приложение Admin Console в local Internet. 


Scroll Pagebreak

Редактирование конфигурационного файла.

  1. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\iidemc\Web.config).

    Info
    titleИнформация

    Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора.


  2. Укажите URL для подключения к серверу Indeed AM для параметра Url в тэге amAuthServer.

    1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/

      Info
      titleИнформация

      Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidemc\Config ).


      Code Block
      languagexml
      titleПример
      <amAuthServer Url="https://amserv.indeed-id.local/easerver"/>


  3. Задайте url для подключения к лог серверу. Редактируем тег logServer.

    1. URL - url для подключения к log серверу в формате http(s)://полное_dns_имя_сервера/ls/api.

      Note
      titleПримечание

      Если используется несколько серверов, указываем адрес балансировщика нагрузки.


      Info
      titleИнформация

      Настройки связанные с сертификатом необходимы для настройки двухстороннего TLS соединения между сервером Indeed MC и Indeed AM Log Server.


      Info
      titleИнформация

      Данную настройку не требуется указывать. В текущей версии системы Indeed AM не поддерживается работа 2-х стороннего TLS соединения.


    2. CertificateThumbprint - если закрытый ключ в реестре, а сертификат в хранилище компьютера.
    3. CertificateFilePath - если ключевая пара в pfx.
    4. CertificateFilePassword - пароль от pfx.
    Code Block
    languagexml
    titleПример
    <logServer Url="http://log.indeed-id.local/ls/api/" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword=""/>


  4. После редактирования конфигурационных файлов перезапустите IIS сервер. Admin Console будет доступен по адресу: "http(s)://полное_dns_имя_сервера/iidemc/"

Настройка срока жизни сессии

Info
titleИнформация

Данная настройка не является обязательной

Для увеличения или уменьшения срока жизни сессии в Admin Console выполните следующие действия

  1. Откройте конфигурационный файл Indeed Admin Console applicationSettings.config:  C:\inetpub\wwwroot\iidemc\Config\applicationSettings.config

  2. Для параметра "sessionExpirationTimeInMinutes" установите необходимое значение. Значение по умолчанию 30(минут).

    Code Block
    languageyml
    titleПример
    <amApplicationSettings 
  findUsersMaxResultCount="200" 
  isIgnoreCertErrors="false" 
  sessionExpirationTimeInMinutes="60" 
  allowOverrideRandomPasswordGeneration="false"
/>


  3. Сохраните изменения.

Scroll Pagebreak

Настройка входа в Admin Console с использованием SAML IDP

Info
titleИнформация

Данная настройка не является обязательной

  1. Откройте IIS Manager, выберете "Default Web Site" и откройте приложение "iidemc".
  2. Откройте "Проверка подлинности" и включите следующие методы:
    1. Анонимная проверка подлинности.
    2. Проверка подлинности с помощью форм.Image Added
  3. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\iidemc\Web.config).

  4. В теге amAuthentication  выполните следующие:

    1. В параметре mode укажите значение Saml.

    2. В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/iidsamlidp/ для подключения к серверу Indeed SAML.

      Code Block
      languagexml
      <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp"/>


    3. В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM Admin Console. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.

      Code Block
      languagepowershell
      titleПолучение отпечатка сертификата Saml Idp через PS
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}


    4. В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM Admin Console, который был сгенерирован при установке. 

      Info
      titleИнформация

      Сертификат устанавливает в хранилище сертификатов (Local Machine -> Personal) с общем именем "mcsp".

      Получить отпечаток можно с помощью Power Shell запроса:

      Code Block
      languagepowershell
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

    В блоке:

    Code Block
    languageyml
    <authentication mode="Windows">
      <forms loginUrl="~/Account/Authenticate"></forms>
 </authentication>

    Замените значение параметра mode на Forms

    Code Block
    languageyml
    <authentication mode="Forms"> <forms loginUrl="~/Account/Authenticate"></forms> </authentication>


  5. Сохраните изменения в конфигурационном файле.
     Info
    titleИнформация
    Для отключения запроса доменного логин и пароля необходимо включить "Проверку подлинности Windows" для iidsamlidp, на сервере SAML.

  6. Откройте конфигурационный файл Indeed AM Saml Idp Web.config (C:\inetpub\wwwroot\iidsamlidp\Web.config). 
  7. В тегt amPartnerServiceProviderSettings укажите следующие: 
    1. В параметре EmcServiceUrl укажите URL сервера с компонентом Indeed AM Admin Console в формате http(s)://полное_dns_имя_сервера/iidemc/
    2. В параметре EmcCertificateThumbprint укажите отпечаток сертификата Indeed AM Admin Console. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM Admin Console на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
       Code Block
      languagepowershell
      titleПолучение отпечатка сертификата Admin Console через PS
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

 Code Block
languageyml
titleПример
<amPartnerServiceProviderSettings SelfServiceUrl="SELF_SERVICE_URL" EmcServiceUrl="https://server.indeed.local/iidemc/" SelfServiceCertificateThumbprint="" EmcCertificateThumbprint="C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"/>

Настройка выхода из Admin Console при использованием SAML idp
  1. Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\iidemc\Web.config).
  2. Для тега amAuthentication добавьте параметр enableLogout со значение true (По умолчанию false).
     Code Block
    languageyml
    titleПример
    <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp/" enableLogout="true"/>

  3. Откройте конфигурационный файл SAML Web.config (C:\inetpub\wwwroot\iidsamlidp\Web.config).
  4. Для параметра EmcServiceUrl в теге amPartnerServiceProviderSettings укажите URL адрес сервера Admin Console.
     Code Block
    languageyml
    titleПример
    <amPartnerServiceProviderSettings SelfServiceUrl="http://dc.demo.local/iidselfservice/" EmcServiceUrl="http://dc.demo.local/iidemc/"/>

 Backtotop
 Table of Contents
classrightFloat
...