Skip to main content

Настройка SSO через SAML 2.0 в Microsoft AD FS

Цель

Настройка единого входа (SSO) в Принтум через протокол SAML 2.0 с использованием Microsoft Active Directory Federation Services (AD FS) в качестве Identity Provider.

Предусловия

  • Windows Server 2012 или выше с актуальными обновлениями и патчами
  • SSL-сертификат для домена AD FS (самоподписанный или от доверенного центра сертификации)
  • DNS-запись для ADFS-сервера, например adfs.yourdomain.com (или FQDN домена, если ADFS развёрнут на контроллере домена)
  • Настроена интеграция с доменом в Принтум (пользователи импортированы)
  • Сопоставлены атрибуты домена, в том числе unique_id

Шаг 1. Подготовка сервера AD FS

DNS

  • Если ADFS разворачивается не на контроллере домена — создайте DNS-запись для сервера (например, adfs.yourdomain.com).
  • Если ADFS разворачивается на контроллере домена — используйте FQDN-имя домена. Чтобы узнать FQDN: откройте оснастку «Active Directory — пользователи и компьютеры», раскройте «Domain Controllers», выберите запись компьютера, откройте свойства. В строке «DNS-имя» будет указана полная запись.

SSL-сертификат

  • Получите SSL-сертификат для вашего ADFS-домена: самоподписанный или от доверенного центра сертификации.

Шаг 2. Установка роли AD FS

  1. Откройте Server Manager.
  2. Выберите Add roles and features.
  3. В мастере выберите Role-based or feature-based installation.
  4. Выберите сервер из пула.
  5. На странице выбора ролей выберите Active Directory Federation Services.
  6. Следуйте инструкциям мастера и завершите установку.

Шаг 3. Настройка AD FS

  1. После установки откройте AD FS Management из меню Administrative Tools.
  2. В правой панели выберите Configure the federation service on this server.
  3. Выберите Create the first federation server in a federation server farm.
  4. Укажите имя вашего SSL-сертификата.
  5. Укажите имя вашего ADFS-сервера (например, adfs.yourdomain.com).
  6. Укажите учётные данные администратора для создания базы данных конфигурации.
  7. Выберите хранилище базы данных: SQL Server или встроенная база данных (Windows Internal Database). При выборе SQL Server убедитесь, что у вас есть соответствующие права и доступ.
  8. Завершите мастер и перезагрузите сервер, если требуется.

Проверка статуса службы ADFS

Get-Service adfssrv

Если сервис не запущен, выполните:

Start-Service adfssrv

После завершения настройки будет доступен для скачивания файл метаданных IdP.

Шаг 4. Получение файла метаданных IdP

  1. Перейдите в Диспетчер серверов → Средства → Управление AD FS.
  2. В разделе «Отношения доверия проверяющей стороны» откройте настройку созданного ранее сервиса.
  3. Во вкладке «Наблюдение» нажмите «Проверить URL-адрес» справа от строки адреса скачивания XML-файла с метаданными.
  4. После успешной проверки скопируйте адрес, введите в браузере — файл метаданных будет скачан на ваш компьютер.

Шаг 5. Настройка SAML 2.0 в Принтум

  1. Перейдите в раздел «Настройки доменной авторизации» в административной панели Мониторинга.
  2. Нажмите «Добавить настройки доменной авторизации».
  3. Заполните поля:
    • Тип — выберите SAML 2.0.
    • Метаданные IdP — загрузите скачанный файл метаданных.
    • Приватный ключ и Сертификат — оставьте пустыми для автогенерации, либо загрузите свою пару ключ–сертификат.
  4. Нажмите «Сохранить».
  5. В столбце «Метаданные SP» нажмите «Открыть» и сохраните данные в файл — это файл метаданных Service Provider для загрузки в AD FS.

Шаг 6. Добавление Relying Party Trust в AD FS

  1. Откройте Управление AD FS: Диспетчер серверов → Средства → Управление AD FS.
  2. Выберите «Отношения доверия проверяющей стороны», затем «Добавить отношение проверяющей стороны».
  3. На первом шаге оставьте выбор «Поддерживающие утверждения» и нажмите «Запустить».
  4. На втором шаге выберите «Импорт данных о проверяющей стороне из файла», загрузите файл метаданных SP (сохранённый на шаге 5). Нажмите «Далее».
  5. Введите произвольное название для отношения доверия и нажмите «Далее».
  6. Настройте политику управления доступом или оставьте значение по умолчанию. Нажмите «Далее».
  7. На финальном экране оставьте галочку «Настроить политику выдачи утверждений для данного приложения» активной и нажмите «Завершить».

Шаг 7. Настройка правила выдачи утверждений (Claim Rules)

  1. В открывшемся окне «Изменить политику подачи запросов» нажмите «Добавить правило».
  2. В поле «Шаблон правила утверждений» выберите «Отправка атрибутов LDAP как утверждений», нажмите «Далее».
  3. Введите произвольное имя правила.
  4. В поле «Хранилище атрибутов» выберите Active Directory.
  5. В разделе «Сопоставление атрибутов»:
    • В столбце «Атрибут LDAP» — укажите атрибут, сопоставленный с unique_id при настройке импорта из домена. По умолчанию для Active Directory — objectSid.
    • В столбце «Тип исходящего утверждения» — выберите «ИД имени».
  6. Нажмите «Готово».

Результат

После успешной настройки в форме аутентификации в Личном кабинете или административной панели появится кнопка аутентификации через домен.

Back to top