Настройка SSO через SAML 2.0 в Microsoft AD FS

Цель

Настройка единого входа (SSO) в ~~Printum~~Принтум через протокол SAML 2.0.0 ~~Пользователь~~с ~~аутентифицируется~~использованием ~~через~~Microsoft ~~корпоративный~~Active Directory Federation Services (AD FS) в качестве Identity ~~Provider (IdP) и получает доступ к Printum без отдельного логина.~~Provider.

Предусловия

Windows Server 2012 или выше с актуальными обновлениями и патчами

SSL-сертификат для домена AD FS (самоподписанный или от доверенного центра сертификации) DNS-запись для ADFS-сервера, например adfs.yourdomain.com (или FQDN домена, если ADFS развёрнут на контроллере домена) Настроена интеграция с доменом в Принтум (пользователи импортированы) Сопоставлены атрибуты домена, в том числе unique_id

Шаг 1. Подготовка сервера AD FS

DNS

~~Имеется~~Если ~~доступ~~ADFS кразворачивается ~~панели~~не ~~администратора~~на ~~IdP-~~контроллере домена — создайте DNS-запись для сервера (например, adfs.yourdomain.com). Если ADFS разворачивается на контроллере домена — используйте FQDN-имя домена. Чтобы узнать FQDN: откройте оснастку «Active Directory — пользователи и компьютеры», раскройте «Domain Controllers», выберите запись компьютера, откройте свойства. В строке «DNS-имя» будет указана полная запись.

SSL-сертификат

Получите SSL-сертификат для вашего ADFS-домена: самоподписанный или от доверенного центра сертификации.

ШагиШаг 2. Установка роли AD FS

Откройте Server Manager. Выберите Add roles and features. В мастере выберите Role-based or feature-based installation. Выберите сервер из пула. На странице выбора ролей выберите Active Directory Federation Services. Следуйте инструкциям мастера и завершите установку.

Шаг 3. Настройка AD FS

После установки откройте AD FS Management из меню Administrative Tools. В правой панели выберите Configure the federation service on this server. Выберите Create the first federation server in a federation server farm. Укажите имя вашего SSL-сертификата. Укажите имя вашего ADFS-сервера (например, adfs.yourdomain.com). Укажите учётные данные администратора для создания базы данных конфигурации. Выберите хранилище базы данных: SQL Server или встроенная база данных (Windows Internal Database). При выборе SQL Server убедитесь, что у вас есть соответствующие права и доступ. Завершите мастер и перезагрузите сервер, если требуется.

Проверка статуса службы ADFS

Get-Service adfssrv

Если сервис не запущен, выполните:

Start-Service adfssrv

После завершения настройки

Шагбудет 1.доступен Подготовитьдля скачивания файл метаданных IdP.

Шаг 4. Получение файла метаданных IdP

~~Войдите~~Перейдите в ~~панель~~Диспетчер ~~администратора~~серверов ~~вашего~~→ ~~сервера~~Средства ~~аутентификации~~→ ~~(Identity~~Управление ~~Provider,~~AD ~~IdP)~~FS.
~~Найдите~~В ~~раздел,~~разделе ~~отвечающий~~«Отношения задоверия ~~экспорт~~проверяющей ~~метаданных.~~стороны» откройте настройку созданного ранее сервиса.
~~Скачайте~~Во вкладке «Наблюдение» нажмите «Проверить URL-адрес» справа от строки адреса скачивания XML-файла с метаданными.

После успешной проверки скопируйте адрес, введите в браузере — файл метаданных вбудет ~~формате~~скачан .xml.на ваш компьютер.

Шаг 2.5. Добавить настройкиНастройка SAML 2.0 в Printum

Принтум

Перейдите в раздел «Настройки доменной авторизации» в административной панели ~~мониторинга.~~Мониторинга.
Нажмите «Добавить настройки доменной авторизации».
Заполните поля:
- Тип — выберите SAML 2.0.
- Метаданные IdP — загрузите скачанный файл метаданных.
- Приватный ключ и Сертификат — оставьте пустыми для автогенерации, либо загрузите свою пару ключ–сертификат.
Нажмите «Сохранить».

Шаг 3. Настроить Service Provider на стороне IdP

В столбце «Метаданные SP» нажмите «Открыть» и сохраните данные в ~~файл.~~файл — это файл метаданных Service Provider для загрузки в AD FS.

Шаг 6. Добавление Relying Party Trust в AD FS

Откройте Управление AD FS: Диспетчер серверов → Средства → Управление AD FS. ~~Загрузите~~Выберите ~~этот~~«Отношения доверия проверяющей стороны», затем «Добавить отношение проверяющей стороны». На первом шаге оставьте выбор «Поддерживающие утверждения» и нажмите «Запустить». На втором шаге выберите «Импорт данных о проверяющей стороне из файла», загрузите файл вметаданных ~~свою службу федерации при создании проверяющей стороны~~SP (~~Service~~сохранённый ~~Provider)~~на шаге 5). Нажмите «Далее». Введите произвольное название для отношения доверия и нажмите «Далее». Настройте ~~передачу~~политику ~~атрибута~~управления доступом или оставьте значение по умолчанию. Нажмите «ИДДалее». ~~имени»~~На финальном экране оставьте галочку «Настроить политику выдачи утверждений для данного приложения» активной и нажмите «Завершить».

Шаг 7. Настройка правила выдачи утверждений (`name_id`)Claim Rules)

В открывшемся окне «Изменить политику подачи запросов» нажмите «Добавить правило». В поле «Шаблон правила утверждений» выберите «Отправка атрибутов LDAP как утверждений», нажмите «Далее». Введите произвольное имя правила. В поле «Хранилище атрибутов» выберите Active Directory. В разделе «Сопоставление атрибутов»:

В столбце «Атрибут LDAP» — укажите атрибут, сопоставленный с unique_id при настройке импорта из домена. По умолчанию для Active Directory — objectSid. В столбце «Тип исходящего утверждения» — выберите «ИД имени». Нажмите «Готово».

Ожидаемый результатРезультат

~~При~~После ~~входе~~успешной настройки в ~~Printum пользователь перенаправляется на страницу~~форме аутентификации ~~IdP, вводит доменные логин и пароль, после чего получает доступ к системе.~~

Как проверить

~~Перейдите на страницу авторизации Printum и выберите~~ ~~«Авторизоваться при помощи доменной УЗ»~~. ~~Должно произойти перенаправление на страницу IdP.~~ ~~После ввода доменных учётных данных — успешный вход~~ в ~~Printum.~~Личном кабинете

или

Связанныеадминистративной страницы

панели

появится ~~Настройка~~кнопка ~~SSO~~аутентификации через ~~Kerberos~~ ~~Настройка атрибутов домена~~ ~~Интеграция с Active Directory~~ домен.