Indeed AM Self Service - это Web-приложение, которое работает на базе IIS. В данном модуле пользователь может осуществлять управление своими аутентификаторами.
Файлы для indeed AM Self Service расположены: indeed AM <Номер версии>\Indeed AM Self Service\<Номер версии>\
|
Опциональная настройка. Генерация сертификата необходима при аутентификации в Indeed AM Self Service с использованием Indeed AM SAML IDP Provider. Данный сертификат не предназначен для организации SSL соединения. Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. |
По завершению установки будет предложено сгенерировать новый IDP сертификат. Если флажок будет выставлен, то сгенерируется и установится в хранилище сертификатов (Local Machine -> Personal) новый самоподписанный сертификат. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.
Добавить привязку https в настройках Default Web Site в IIS Manager.
Self Service является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https. Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для Self Service. |
Сохраните привязку.
Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора. По умолчанию компонент Indeed AM Self Service настроен на использование SAML аутентификации, при необходимости можно настроить прозрачную Windows аутентификацию. |
Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.
Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/
Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidselfservice\Config ). |
<amAuthServer Url="https://amserv.indeed-id.local/easerver"/> |
Для тега "amAuthentication" в параметре "mode" укажите "Windows".
Параметр "loginUrl" оставьте без изменений, при использовании Windows аутентификации данный параметр не учитывается. |
<amAuthentication mode="Windows" loginUrl="" enableLogout="true" /> |
Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/
Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidselfservice\Config ). |
<amAuthServer Url="https://amserv.indeed-id.local/easerver"/> |
В теге amAuthentication выполните следующие:
В параметре mode укажите значение Saml.
В параметре loginUrl кажите URL в формате http(s)://полное_dns_имя_сервера/iidsamlidp/ для подключения к серверу Indeed SAML.
<amAuthentication mode="Saml" loginUrl="http://saml.demo.local/iidsamlidp"/> |
В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Indeed AM Saml Idp. Сертификат необходимо экспортировать без закрытого ключа с сервера SAML на сервер с Indeed AM Self Service. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"} |
В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата IDP клиента Indeed AM Self Service, который был сгенерирован при установке.
Сертификат устанавливает в хранилище сертификатов (Local Machine -> Personal) с общем именем "ucsp". Получить отпечаток можно с помощью Power Shell запроса:
|
<amAuthentication mode="Saml" loginUrl="https://logserver.indeed.local/iidsamlidp/" identityProviderCertificateThumbprint="C72DF64AE6E039445C8ED53FD83F75A9A2BA37E9" serviceProviderCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" enableLogout="true"/> |
В параметре SelfServiceCertificateThumbprint укажите отпечаток сертификата Indeed AM Self Service. Сертификат необходимо экспортировать без закрытого ключа с сервера Indeed AM Self Service на сервер с Indeed AM Saml Idp. Сертификат необходимо добавить в хранилище сертификатов, в Local Machine -> Personal.
Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"} |
<amPartnerServiceProviderSettings SelfServiceUrl="https://server.indeed.local/iidselfservice/" EmcServiceUrl="" SelfServiceCertificateThumbprint="3A1663D905E543782DD84B50391DEBC5178269D7" EmcCertificateThumbprint=""/> |
В появившемся окне аутентификации SAML нажмите "Back" для выбора способа аутентификации, по умолчанию используется последний используемый способ.
Выберите способ аутентификации и нажмите "Select".
Если у пользователя нет обученного аутентификатора, то выберите "Windows Password". |
Выход в сессии пользователя из SAML idp не влечет за собой выход пользователя из Self Service, до перезапуска браузера или истечения срока хранения cookie. Время хранения cookie для SAML idp - 30 минут. |
Для выхода из Self Service выполните:
Данная опция будет активна если в пункте 3.b раздела "Установка", был настроен параметр enableLogout. По умолчанию отключена. |
Выберите "Выйти" из выпадающего списка.
При выходе из Self Service происходит автоматический выход из SAML idp. |