|
<< Click to Display Table of Contents >> Администрирование (Windows) > Общесистемные настройки > Настройка аутентификации > OpenID Connect 1.0 Настройка OpenID Connect 1.0 с использованием ADFS |
|
|
<< Click to Display Table of Contents >> Администрирование (Windows) > Общесистемные настройки > Настройка аутентификации > OpenID Connect 1.0 Настройка OpenID Connect 1.0 с использованием ADFS |
|
Для работы аутентификации по протоколу OpenID Connect 1.0 с использованием ADFS 2016 и выше настройте:
3.Конфигурацинный файл Directum RX
Настройка проверяющей стороны (Relying Party)
1.В диспетчере серверов в выпадающем списке Средства выберите пункт Управление AD FS. Откроется консоль управления.
2.Перейдите в узел Группы приложений и в контекстном меню нажмите на кнопку Добавить группу приложений Откроется мастер добавления группы приложений.
3.На шаге «Приветствие» в поле Имя введите имя группы приложений, например, sa1.
ВАЖНО. В разделе для параметров указаны примеры значений: sa1, b1, с1 и др. Для упрощения настройки рекомендуется задавать именно эти значения, так как в дальнейшем они используются при настройке конфигурационного файла config.yml.
4.В области «Шаблон:» выберите пункт Серверное приложение, подключающееся к веб-API и нажмите на кнопку Далее.
5.На шаге «Приложение сервера» заполните поле Идентификатор клиента. Пример значения: c1.
В поле Перенаправить URI введите путь до страницы перенаправления веб-клиента Directum RX. Поддерживается только протокол HTTPS. Пример значения: https://rxserver/Client/b1, где:
•https://rxserver/Client – адрес веб-клиента Directum RX.
Важно. В адресе значение Client должно совпадать со значением в конфигурационном файле config.yml в секции Общие настройки (common_config) в параметре WEB_HOST_PATH_BASE. По умолчанию при установке системы в параметре указывается значение Client. Также необходимо учитывать регистр символов.
•/b1 – часть пути до веб-клиента, на который будет перенаправлен пользователь после попытки аутентификации.
Нажмите на кнопку Добавить, затем на кнопку Далее.
6.На шаге «Настроить учетные данные приложения» установите флажок Создать общий секрет. В результате автоматически сгенерируется секрет, например quuAL6dcvo1KKyr5pgwhqTnsRKaY9OH88h1iNnoJ. После создания группы приложений нельзя посмотреть секрет, поэтому по кнопке Копировать в буфер обмена скопируйте его в какой-либо файл. Затем нажмите на кнопку Далее.
7.На шаге «Настройка веб-интерфейса API» в поле Имя оставьте автоматически сформированное значение sa1 - Web API без изменений. В поле Идентификатор – веб-интерфейс API укажите значение с1. Оно должно совпадать со значением в поле Идентификатор клиента, указанном ранее. После этого нажмите на кнопку Добавить и затем нажмите на кнопку Далее.
8.На шаге «Выбрать политику управления доступом» укажите значение Разрешение для каждого. Затем нажмите на кнопку Далее.
9.На шаге «Настроить разрешения для приложений» убедитесь, что установлены флажки openid и allatclaims, затем нажмите на кнопку Далее.
10.На шагах «Сводка» и «Готово» заполнять значения не нужно. В конце нажмите на кнопку Закрыть.
Правила утверждения (claims) нужны для автоматического входа пользователя в веб-клиент Directum RX. В настройках необходимо указать, что ADFS будет передавать в веб-клиент правила Windows account name (Имя учетной записи Windows) и Primary SID (Основной SID).
Чтобы настроить передачу правила Windows account name:
1.В окне утилиты «Управление AD FS» перейдите в узел Группы приложений.
2.В списке выберите группу приложений, которую ранее создали, и откройте ее.
3.В открывшемся окне выберите значение sa1-Web API и нажмите на кнопку Изменить.
4.В открывшемся окне выберите вкладку «Правила преобразования выдачи» и нажмите на кнопку Добавить правило. Откроется мастер добавления правила преобразования утверждения.
5.На шаге «Выберите тип правила» в выпадающем списке Шаблоны правила утверждения выберите пункт Проход через входящее утверждение или его фильтрация и нажмите на кнопку Далее.
6.На шаге «Настройте правило утверждения»:
•в поле Имя правила утверждения введите значение, например, WIN_ACC_NAME.
•в выпадающем списке Тип входящего утверждения выберите пункт Имя учетной записи Windows.
7.Нажмите на кнопку Готово.
Чтобы настроить передачу правила Primary SID:
1.Повторите те же действия, что и для Имя учетной записи Windows, только на шаге «Настройте правило утверждения»:
•в поле Имя правила утверждения введите значение, например, P_SID;
•в выпадающем списке Тип входящего утверждения выберите пункт Основной SID.
2.Нажмите на кнопку Готово.
Настройка конфигурационного файла Directum RX
В конфигураторе Directum Launcher в секции Общие настройки (common_config) добавьте параметры:
•EXTERNAL_AUTHENTICATION_TYPE – тип аутентификации. Укажите значение OpenIdConnect;
•AUTHENTICATION_WIN_ACCOUNT_CLAIM_TYPE – тип утверждения, в котором передается имя учетной записи. Укажите значение preferred_username;
•AUTHENTICATION_SID_CLAIM_TYPE – тип утверждения, в котором передается SID (идентификатор) пользователя. Необязательный параметр;
•OIDC_AUTHORITY – адрес провайдера идентификации. Поддерживается только протокол HTTPS. Параметр не учитывается, если указан адрес точки входа для получения метаданных OIDC_METADATA_ADDRESS;
•OIDC_CLIENT_ID – идентификатор веб-клиента Directum RX. Введите значение, которое указывали в поле Идентификатор клиента;
•OIDC_CLIENT_SECRET – значение клиентского секрета. Используется для настройки безопасности. Введите значение секрета, которое сгенерировалось при установке флажка Создать общий секрет;
•OIDC_USE_BASIC_AUTH_FOR_CLIENT_SECRET – метод передачи клиентского секрета. Обычно задается при настройке на стороне провайдера аутентификации. Укажите одно из возможных значений:
•флажок снят (false) – используется механизм базовой аутентификации (Basic), секрет передается в теле HTTP-запроса. Значение по умолчанию;
•флажок установлен (true) – секрет передается в заголовке Authorization.
•OIDC_CALLBACK_PATH – часть пути до веб-клиента Directum RX, на который будет перенаправлен пользователь после попытки аутентификации. Введите значение, которое указывали в поле Перенаправить URI;
•OIDC_SCOPE – список областей, разделенных пробелами. Передается в запросе авторизации провайдеру аутентификации. Влияет на состав утверждений, возвращаемых в идентификационном маркере. Если значение параметра не указано, используется openid profile;
•OIDC_METADATA_ADDRESS – адрес точки входа для получения метаданных. Необязательный параметр, если задано значение параметра OIDC_AUTHORITY. По стандарту заканчивается строкой /.well-known/openid-configuration. Поддерживается только протокол HTTPS.
Пример настройки в config.yml:
EXTERNAL_AUTHENTICATION_TYPE: 'OpenIdConnect'
AUTHENTICATION_WIN_ACCOUNT_CLAIM_TYPE: 'preferred_username'
OIDC_AUTHORITY: 'https://adfs.server.com'
OIDC_CLIENT_ID: 'c1'
OIDC_CLIENT_SECRET: 'quuAL6dcvo1KKyr5pgwhqTnsRKaY9OH88h1iNnoJ'
OIDC_USE_BASIC_AUTH_FOR_CLIENT_SECRET: 'false'
OIDC_CALLBACK_PATH: '/b1'
| © Компания Directum, 2025 |