You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 10 Next »

Indeed AM User Console - это Web-приложение, которое работает на базе IIS. В данном модуле пользователь может осуществлять управление своими аутентификаторами. 

Информация

Файлы для indeed AM User Console расположены: indeed AM <Номер версии>\Indeed AM User Console\<Номер версии>\

  • IndeedAM.UserConsole-<номер версии>.x64.ru-ru.msi - Пакет для установки Indeed AM User Console.

Установка 

  1. Выполнить установку Indeed AM User Console через запуск соответствующего пакета.

    1. Информация

      Опциональная настройка. Генерация сертификата необходима при аутентификации в Indeed AM User Console с использованием Indeed AM SAML IDP Provider

      Данный сертификат не предназначен для организации SSL соединения. 

      Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. 

      По завершению установки будет предложено сгенерировать новый IDP сертификат.  Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.


  2. Добавить привязку https в настройках Default Web Site в IIS Manager.

    Информация

    User Console является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.

    Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для User Console.

    Также в этом случае необходимо в конфигурационном файле UC (C:\inetpub\wwwroot\am\uc\Web.config) изменить значение параметра requireSSL на false:

    Пример
    <httpCookies httpOnlyCookies="true" requireSSL="false" />


    1. Запустите IIS Manager и раскройте пункт Сайты (Sites).
    2. Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
    3. Нажмите Добавить (Add):
      1. Тип (Type) - https.
      2. Порт (Port) - 443.
      3. Выберите SSL-сертификат (SSL Certificate).

    4. Сохраните привязку.

Настройка

Информация

Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора.

По умолчанию компонент Indeed AM User Console настроен на использование SAML аутентификации, при необходимости можно настроить прозрачную Windows аутентификацию.

Аутентификация с Windows Authentication 

  1. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).

  2. Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.

    1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/am/core/

      Информация

      Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( am\uc\Config ).

      Пример
      <amAuthServer Url="https://amserv.indeed-id.local/am/core/"/>
  3. Запустите IIS Manager, выберите "Default Web Site -> am" и откройте приложение "uc".
  4. Откройте "Проверка подлинности" и включите следующие методы:
    1. Олицетворение ASP.NET.
    2. Проверка подлинности Windows.
  5. Отключите все остальные методы.
  6. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).

  7. Для тега "amAuthentication" в параметре "mode" укажите "Windows".

    Информация

    Параметр "loginUrl" оставьте без изменений, при использовании Windows аутентификации данный параметр не учитывается. 

    Пример
    <amAuthentication mode="Windows" loginUrl="" identityProviderCertificateThumbprint="" serviceProviderCertificateThumbprint="" enableLogout="true"/>
  8. Перезапустите IIS сервер. User Console будет доступен по адресу: "http(s)://полное_dns_имя_сервера/am/uc/".

Аутентификация с помощью SAML idp

  1. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).
  2. Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.

    1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/am/core/

      Информация

      Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( am\uc\Config ).

      Пример
      <amAuthServer Url="https://amserv.indeed-id.local/am/core/"/>


  3. Запустите IIS Manager, выберите "Default Web Site -> am" и откройте приложение "uc".
  4. Откройте "Проверка подлинности" и включите следующие методы:
    1. Анонимная проверка подлинности.
    2. Проверка подлинности с помощью форм.

  5. Отключите все остальные методы.
  6. Откройте конфигурационный файл User Console Web.config (C:\inetpub\wwwroot\am\uc\Web.config).

  7. В теге amAuthentication  выполните следующие:

    1. В параметре mode укажите значение Saml.

    2. В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/am/idp/ для подключения к серверу Indeed SAML.

      <amAuthentication mode="Saml" loginUrl="http://saml.demo.local/am/idp/"/>

    3. В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM User Console. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.

      Получение отпечатка сертификата Saml Idp через PS
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}

    4. В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM User Console, который был сгенерирован при установке.

      Информация

      Сертификат устанавливается в хранилище сертификатов (Local Machine -> Personal) с общем именем "ucsp".

      Получить его отпечаток можно с помощью PowerShell запроса:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}
    5. Параметр enableLogout (Не обязательный) - включает возможность выполнять выход из User Console.
      Пример
      <amAuthentication mode="Saml" loginUrl="https://logserver.indeed.local/am/idp/" identityProviderCertificateThumbprint="C72DF64AE6E039445C8ED53FD83F75A9A2BA37E9" serviceProviderCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" enableLogout="true"/>
  8. Откройте конфигурационный файл Indeed AM Saml Idp Web.config (C:\inetpub\wwwroot\am\idp\Web.config).
    1. В тегt amPartnerServiceProviderSettings укажите следующие: 
      1. В параметре SelfServiceUrl укажите URL сервера с компонентом Indeed AM User Console в формате http(s)://полное_dns_имя_сервера/am/uc/

      2. В параметре SelfServiceCertificateThumbprint укажите отпечаток сертификата Indeed AM User Console. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM User Console на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.

        Получение отпечатка сертификата User Console через PS
        Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}
    Пример
    <amPartnerServiceProviderSettings SelfServiceUrl="https://server.indeed.local/am/uc/" EmcServiceUrl="" SelfServiceCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" EmcCertificateThumbprint=""/>
  9. Сохраните изменения в конфигурационных файлах и перезапустите IIS сервера с Indeed AM Saml и с Indeed AM User Console. 

Включение защиты от перебора

Сервер Indeed AM поддерживает включение защиты от подбора УЗ пользователей для компонента Indeed AM SAML Idp. По умолчанию данная настройка отключена.

При включенной настройке злоумышленник не сможет определить валидные УЗ в домене по возвращаемой от компонента ошибке. 

Для включения настройки необходимо выполнить следующие: 

  1. Откройте конфигурационный файл сервера Indeed AM: C:\inetpub\wwwroot\am\core\Web.config

  2. В теге "appSettings", для параметра "bruteForceProtectionApps", задайте значения "User Console" и "SAML Identity Provider". 

    Пример
    <appSettings>
    <add key="bruteForceProtectionApps" value="User Console, SAML Identity Provider" />
    ...
</appSettings>
  3. Сохраните изменения и перезапустите IIS сервер. 

Вход в User Console с использованием SAML

  1. Откройте в браузере Web интерфейс консоли User Console.

  2. В появившемся окне аутентификации SAML нажмите "Back" для выбора способа аутентификации, по умолчанию используется последний используемый способ.


  3. Выберите способ аутентификации и нажмите "Select". 

    Информация

    Если у пользователя нет обученного аутентификатора, то выберите "Windows Password".

    Информация

    Выход в сессии пользователя из SAML idp не влечет за собой выход пользователя из User Console, до перезапуска браузера или истечения срока хранения cookie. Время хранения cookie для SAML idp - 30 минут.

  4. Введите пароль и нажмите "Sing in". Если ввод данных был успешный, то отобразится карточка пользователя.

  5. Для выхода из User Console выполните:

    Информация

    Данная опция будет активна если в пункте 3.b раздела "Установка", был настроен параметр enableLogout. По умолчанию отключена.

    1. Нажмите на имя пользователя в верхней части окна.

    2. Выберите "Выйти" из выпадающего списка.

      Информация

      При выходе из User Console происходит автоматический выход из SAML idp.





 


  • No labels