Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Indeed AM Self Service - это Web-приложение, которое работает на базе IIS. В данном модуле пользователь может осуществлять управление своими аутентификаторами.
Info | ||
---|---|---|
| ||
Файлы для indeed AM Self Service расположены: indeed AM <Номер версии>\Indeed AM Self Service\<Номер версии>\
|
Установка
- Выполнить установку Indeed AM Self Service через запуск пакета для установки Indeed AM Self Service.
Note title Информация Опциональная настройка. Генерация сертификата необходима при аутентификации в Indeed AM Self Service с использованием Indeed AM SAML IDP Provider.
Данный сертификат не предназначен для организации SSL соединения.
Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок.
По завершению установки будет предложено сгенерировать новый IDP сертификат. Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.
Добавить привязку https в настройках Default Web Site в IIS Manager.
Info title Информация Self Service является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.
Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для Self Service.
- Запустите IIS Manager и раскройте пункт Сайты (Sites).
- Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
- Нажмите Добавить (Add):
- Тип (Type) - https.
- Порт (Port) - 443.
- Выберите SSL-сертификат (SSL Certificate).
Сохраните привязку.
Настройка
Info | ||
---|---|---|
| ||
Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора. По умолчанию компонент Indeed AM Self Service настроен на использование SAML аутентификации, при необходимости можно настроить прозрачную Windows аутентификацию. |
Аутентификация с Windows Authentication
- Откройте конфигурационный файл Self Service Web.config (C:\inetpub\wwwroot\iidselfservice\Web.config).
Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.
Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/
Info title Информация Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidselfservice\Config ).
Code Block language xml title Пример <amAuthServer Url="https://amserv.indeed-id.local/easerver"/>
- Откройте IIS Manager, выберете "Default Web Site" и откройте приложение "iidselfservice".
- Откройте "Проверка подлинности" и включите следующие методы:
- Олицетворение ASP.NET.
- Проверка подлинности Windows.
- Отключите все остальные методы.
- Откройте конфигурационный файл Self Service Web.config (C:\inetpub\wwwroot\iidselfservice\Web.config).
Для тега "amAuthentication" в параметре "mode" укажите "Windows".
Info title Информация Параметр "loginUrl" оставьте без изменений, при использовании Windows аутентификации данный параметр не учитывается.
Code Block language yml title Пример <amAuthentication mode="Windows" loginUrl="" enableLogout="true" />
- Перезапустите IIS сервер. SelfService будет доступен по адресу: "http(s)://полное_dns_имя_сервера/iidselfservice/".
Аутентификация с помощью SAML idp
- Откройте конфигурационный файл Self Service Web.config (C:\inetpub\wwwroot\iidselfservice\Web.config).
- Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.
Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/
Info title Информация Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidselfservice\Config ).
Code Block language xml title Пример <amAuthServer Url="https://amserv.indeed-id.local/easerver"/>
В теге теге amAuthentication выполните следующие:
В параметре mode укажите значение значение Saml.
В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/iidsamlidp/ для подключения к серверу Indeed SAML.
Code Block language yml <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp"/>
В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM Self Service. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
Code Block language powershell title Получение отпечатка сертификата Saml Idp через PS Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}
В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM Self Service, который был сгенерирован при установке.
Info title Информация Сертификат устанавливает в хранилище сертификатов (Local Machine -> Personal) с общем именем "ucsp".
Получить отпечаток можно с помощью Power Shell запроса:
Code Block language powershell Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}
- Параметр enableLogout (Не обязательный) - включает возможность выполнять выход из Self Service.
Code Block language xml title Пример <amAuthentication mode="Saml" loginUrl="https://logserver.indeed.local/iidsamlidp/" identityProviderCertificateThumbprint="C72DF64AE6E039445C8ED53FD83F75A9A2BA37E9" serviceProviderCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" enableLogout="true"/>
- Откройте конфигурационный файл SAML файл Indeed AM Saml Idp Web.config (C:\inetpub\wwwroot\iidselfserviceiidsamlidp\Web.config).
Укажите URL для доступа к серверу Self Service для параметра SelfServiceUrl в тэге amPartnerServiceProviderSettings.
- В тегt amPartnerServiceProviderSettings укажите следующие:
- В параметре SelfServiceUrl укажите URL сервера с компонентом Indeed AM Self Service в формате http
- (s)://полное_dns_имя_сервера/iidselfservice/
В параметре SelfServiceCertificateThumbprint укажите отпечаток сертификата Indeed AM Self Service. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM Self Service на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
Code Block language
powershell title Получение отпечатка сертификата Admin Console через PS Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}
httpCode Block language yml title Пример <amPartnerServiceProviderSettings SelfServiceUrl="
dchttps://
demoserver.
"EMC_SERVICE_URLindeed.local/iidselfservice/" EmcServiceUrl=
После редактирования конфигурационных файлов перезапустите IIS сервер. SelfService будет доступен по адресу: "http(s)://полное_dns_имя_сервера/iidselfservice/""" SelfServiceCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" EmcCertificateThumbprint=""/>
- В тегt amPartnerServiceProviderSettings укажите следующие:
- Сохраните изменения в конфигурационных файлах и перезапустите IIS сервера с Indeed AM Saml и с Indeed AM Self Service.
Вход в Self Service с использованием SAML
- Откройте в браузере Web интерфейс консоли Self Service.
В появившемся окне аутентификации SAML нажмите "Back" для выбора способа аутентификации, по умолчанию используется последний используемый способ.
Выберите способ аутентификации и нажмите "Select".
Info title Информация Если у пользователя нет обученного аутентификатора, то выберите "Windows Password".
Note title Информация Выход в сессии пользователя из SAML idp не влечет за собой выход пользователя из Self Service, до перезапуска браузера или истечения срока хранения cookie. Время хранения cookie для SAML idp - 30 минут.
- Введите пароль и нажмите "Sing in". Если ввод данных был успешный, то отобразится карточка пользователя.
Для выхода из Self Service выполните:
Note title Информация Данная опция будет активна если в пункте 3.b раздела "Установка", был настроен параметр enableLogout. По умолчанию отключена.
- Нажмите на имя пользователя в верхней части окна.
Выберите "Выйти" из выпадающего списка.
Info title Информация При выходе из Self Service происходит автоматический выход из SAML idp.
Backtotop |
---|
Table of Contents | ||
---|---|---|
|