Indeed AM Admin Console - это Web-приложение, которое работает на базе IIS. В данном модуле осуществляется администрирование системы, через которую производятся все настройки системы и пользователей.
Файлы для Admin Console расположены: indeed AM <Номер версии>\Indeed AM Admin Console\<Номер версии>\
Дополнительные файлы для установки Admin Console расположены: indeed AM <Номер версии>\Misc\
|
Установка
Опциональная настройка. Генерация сертификата необходима при аутентификации в консоль администратора с использованием Indeed AM SAML IDP Provider. Данный сертификат не предназначен для организации SSL соединения. Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. |
По завершению установки будет предложено сгенерировать новый IDP сертификат. Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.
Добавить привязку https в настройках Default Web Site в IIS Manager.
Indeed AM Admin Console является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https. Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для Admin Console. |
Сохраните привязку.
|
Откройте конфигурационный файл консоли Web.config (C:\inetpub\wwwroot\iidemc\Web.config).
Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора. |
Укажите URL для подключения к серверу Indeed AM для параметра Url в тэге amAuthServer.
Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/
Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidemc\Config ). |
<amAuthServer Url="https://amserv.indeed-id.local/easerver"/> |
Задайте url для подключения к лог серверу. Редактируем тег logServer.
URL - url для подключения к log серверу в формате http(s)://полное_dns_имя_сервера/ls/api.
Если используется несколько серверов, указываем адрес балансировщика нагрузки. |
Настройки связанные с сертификатом необходимы для настройки двухстороннего TLS соединения между сервером Indeed MC и Indeed AM Log Server. |
Данную настройку не требуется указывать. В текущей версии системы Indeed AM не поддерживается работа 2-х стороннего TLS соединения. |
<logServer Url="http://log.indeed-id.local/ls/api/" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword=""/> |
Данная настройка не является обязательной |
Для увеличения или уменьшения срока жизни сессии в Admin Console выполните следующие действия
Для параметра "sessionExpirationTimeInMinutes" установите необходимое значение. Значение по умолчанию 30(минут).
<amApplicationSettings findUsersMaxResultCount="200" isIgnoreCertErrors="false" sessionExpirationTimeInMinutes="60" allowOverrideRandomPasswordGeneration="false" /> |
Данная настройка не является обязательной |
В теге amAuthentication выполните следующие:
В параметре mode укажите значение Saml.
В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/iidsamlidp/ для подключения к серверу Indeed SAML.
<amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp"/> |
В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM Admin Console. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"} |
В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM Admin Console, который был сгенерирован при установке.
Сертификат устанавливает в хранилище сертификатов (Local Machine -> Personal) с общем именем "mcsp". Получить отпечаток можно с помощью Power Shell запроса:
|
Сохраните изменения в конфигурационном файле.
Для отключения запроса доменного логин и пароля необходимо включить "Проверку подлинности Windows" для iidsamlidp, на сервере SAML. |
В параметре EmcCertificateThumbprint укажите отпечаток сертификата Indeed AM Admin Console. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM Admin Console на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"} |
<amPartnerServiceProviderSettings SelfServiceUrl="SELF_SERVICE_URL" EmcServiceUrl="https://server.indeed.local/iidemc/" SelfServiceCertificateThumbprint="" EmcCertificateThumbprint="C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"/> |
Для тега amAuthentication добавьте параметр enableLogout со значение true (По умолчанию false).
<amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp/" enableLogout="true"/> |
Для параметра EmcServiceUrl в теге amPartnerServiceProviderSettings укажите URL адрес сервера Admin Console.
<amPartnerServiceProviderSettings SelfServiceUrl="http://dc.demo.local/iidselfservice/" EmcServiceUrl="http://dc.demo.local/iidemc/"/> |