Для работы OAuth-аутентификации на сервере ADFS 2016 или 2019 настройте:

•проверяющую сторону

•правила утверждений

Настройка проверяющей стороны (Relying Party)

1.В диспетчере серверов в выпадающем списке Средства выберите пункт Управление AD FS. Откроется консоль управления.

Перейдите в узел Группы приложений и в контекстном меню нажмите на кнопку Добавить группу приложений. Откроется мастер добавления группы приложений.

2.На шаге «Приветствие» в поле Имя введите имя группы приложений, например, sa1.

ВАЖНО. В разделе для параметров указаны примеры значений: sa1, b1, с1 и др. Для упрощения настройки рекомендуется задавать именно эти значения, так как в дальнейшем они используются при настройке конфигурационного файла config.yml.

Затем в области «Шаблон» выберите пункт Серверное приложение, подключающееся к веб-API и нажмите на кнопку Далее.

3.На шаге «Приложение сервера» заполните поле Идентификатор клиента. Пример значения: c1.

В поле Перенаправить URI введите путь до страницы перенаправления веб-клиента Directum RX. Пример значения: https://rxserver/client/b1, где:

•https://rxserver/client – адрес веб-клиента Directum RX;

•/b1 – часть пути до веб-клиента, на который будет перенаправлен пользователь после попытки аутентификации.

Нажмите на кнопку Добавить, затем на кнопку Далее.

4.На шаге «Настроить учетные данные приложения» установите флажок Создать общий секрет. В результате автоматически сгенерируется секрет, например: quuAL6dcvo1KKyr5pgwhqTnsRKaY9OH88h1iNnoJ. После создания группы приложений нельзя посмотреть секрет, поэтому по кнопке Копировать в буфер обмена скопируйте его в какой-либо файл. Затем нажмите на кнопку Далее.

5.На шаге «Настройка веб-интерфейса API» в поле Имя оставьте автоматически сформированное значение sa1 - Web API без изменений. В поле Идентификатор – веб-интерфейс API укажите значение, например, r1, после этого нажмите на кнопку Добавить. Затем нажмите на кнопку Далее.

6.На шаге «Выбрать политику управления доступом» укажите значение Разрешение для каждого. Затем нажмите на кнопку Далее.

7.На шагах «Настроить разрешения для приложений», «Сводка», «Готово» заполнять значения не нужно. В конце нажмите на кнопку Закрыть.

Настройка правил утверждений

Правила утверждения (claims) нужны для автоматического входа пользователя в веб-клиент Directum RX. В настройках необходимо указать, что ADFS будет передавать в веб-клиент правила Windows account name (Имя учетной записи Windows) и Primary SID (Основной SID).

Чтобы настроить передачу правила Windows account name:

1.В окне утилиты «Управление AD FS» перейдите в узел Группы приложений.

2.В списке выберите группу приложений, которую ранее создали, и откройте ее.

3.В открывшемся окне выберите значение sa1-Web API и нажмите на кнопку Изменить.

4.В открывшемся окне выберите вкладку «Правила преобразования выдачи» и нажмите на кнопку Добавить правило. Откроется мастер добавления правила преобразования утверждения.

5.На шаге «Выберите тип правила» в выпадающем списке Шаблоны правила утверждения выберите пункт Проход через входящее утверждение или его фильтрация и нажмите на кнопку Далее.

6.На шаге «Настройте правило утверждения»:

•в поле Имя правила утверждения введите значение, например, WIN_ACC_NAME;

•в выпадающем списке Тип входящего утверждения выберите пункт Имя учетной записи Windows.

7.Нажмите на кнопку Готово.

Чтобы настроить передачу правила Primary SID:

1.Повторите те же действия, что и для Имя учетной записи Windows, только на шаге «Настройте правило утверждения»:

•в поле Имя правила утверждения введите значение, например, P_SID;

•в выпадающем списке Тип входящего утверждения выберите пункт Основной SID.

2.Нажмите на кнопку Готово.

© Компания Directum, 2025