¶ Подготовительные действия
- Добавить и настроить роль AD, завести пользователей.
- Добавить рольIIS
- Сгенерировать самоподписанный SSL сертификат (как сгенерировать самодписаный SSL сертификат),либо использовать выпущенный для имеющегося домена
- Если будет использоваться выпущенный сертификат, то необходимо выполнить его импорт
Нажать «Next», а на следующем экране «Finish».
Открыть оснастку управления IIS и для «Default Web Site» в секции SSL Settings выбрать пункт «Bindings...», добавить порт 443 и выбрать импортированный ранее сертификат.
Создать пользователя в AD (например ADFS_SVC). Это специальный сервисный аккаунт для подключения к AD.
¶ Добавление и настройка ADFS
Добавить роль ADFS
После установки необходимо вызвать мастер конфигурирования ADFS
Шаги мастера настройки следующие:
Указываем УЗ с правами администратора домена, от имени которой будем выполнять конфигурирование
Выбираем сертификат, который мы импортировали на шаге 1.4, имя (например adfs.yourdomain.ru) и выводимое имя (оно будет отображаться на странице авторизации).
Далее выбираем тип БД, создаем ее и завершаем настройку, пройдя по оставшимся шагам мастера (на этих шагах уже никаких парамеров менять/выбирать не нужно).
¶ Настройка ADFS
Запускаем оснастку управления
Убедимся, что используется протокол HTTPS. Если HTTP, то меняем на HTTPS (иначе при отправке запросов на авторизацию будем получать ошибку)
Выполнить вход в https://ДОМЕН.ismyteam.ru под своей учетной записью
Перейти в меню «Настройки» - «Аутентификация», активировать «Аутентификация SAML», внести информацию в следующие поля и нажать «Сохранить».
URL IDP SSO https://adfs.yourdomain.ru/adfs/ls/ IDP Entity ID https://adfs.yourdomain.ru/adfs/services/trust
После нажатия на кнопку «Сохранить» в полях ACS URL и Entity ID появятся ссылки, которые нам потребуются позже
Возвращаемся в консоль управления ADFS и создаем новый Relying Party Trust
Выбираем тип «Claim aware»
На следующем экране вводим отображаемое имя (можно использовать любое, это ни на что не влияет), нажимаем 2 раза «Next».
Активируем протокол SAML 2.0 и вставляем ссылку вида https://ДОМЕН.ismyteam.rul/api/saml/уникальный-идентификатор/acs из поля ACS URL МояКоманда
Вставляем ссылку вида https://ДОМЕН.ismyteam.ru//api/saml/уникальныйидентификатор/acs из поля Entity ID МояКоманда
Создание правил трансформации отпечатка авторизации
Нажимаем «Add» и выбираем шаблон
Нажимаем «Add» и выбираем шаблон
Создание группы приложений
Нужно отметить поле «Generate a shared secret». Сам этот секрет нигде прописывать не нужно, но без него нельзя завершить настройку.
На следующем экране нажимаем «Next», а затем «Close». Правый щелчок мыши на вновь созданном Application Group и выбираем «Properties»
Еще раз нажимаем «Next» и «Close».
В процессе настройки, мастером, возможно, будет предложено выпустить сертификаты, которые используется для подписи и шифрования. Если этого не произойдет, то нужно будет создать их самостоятельно. и указать его в личном кабинете «МояКоманда».
Сертификат для подписи необходимо сохранить в файл, конвертировать в формат pem и в текстовом виде вставить в поле «Сертификат» (только сам сертификат без секций «BEGIN CERTIFICATE» и «END CERTIFICATE») в личном кабинете «МояКоманда».
Еще один вариант, при котором заработала авторизация:
При этом, в УЗ пользователя в AD должно быть корректное значение в поле E-mail:
