|
<< Click to Display Table of Contents >> Администрирование (Linux) > Сопровождение работы системы > Сопровождение мобильных решений > Настройка сервиса NOMAD > Настройка сквозной аутентификации Active Directory Federation Services |
|
Active Directory Federation Services
|
<< Click to Display Table of Contents >> Администрирование (Linux) > Сопровождение работы системы > Сопровождение мобильных решений > Настройка сервиса NOMAD > Настройка сквозной аутентификации Active Directory Federation Services |
|
ВАЖНО. Для параметров OAuth 2.0 учитывается регистр символов. Поэтому значения этих параметров на сервисе NOMAD и на сервере AD FS рекомендуется задавать в нижнем регистре.
Настройка сервиса AD FS
Чтобы настроить OAuth-аутентификацию на сервере AD FS:
1.В диспетчере сервисов в выпадающем списке Средства выберите пункт Управление AD FS. Откроется окно утилиты.
Перейдите в узел Группы приложений и в контекстном меню нажмите на кнопку Добавить группу приложений…. Откроется окно «Мастер добавления группы приложений».
2.В окне «Приветствие» в поле Имя введите имя группы приложений, например, sa1.
Затем в области «Шаблон:» выберите пункт Собственное приложение, подключающееся к веб-API и нажмите на кнопку Далее>.
3.В окне «Приложение сервера» в поле Идентификатор клиента: введите идентификатор клиентского приложения в формате произвольной строки. Например, адрес сервиса NOMAD.
В поле URI перенаправления: введите адрес diroauth://redirect2oauth.
Нажмите на кнопку Добавить, затем на кнопку Далее>.
4.В окне «Настройка веб-интерфейса API» заполните поле Идентификатор в формате произвольной строки.
Нажмите на кнопку Добавить, затем на кнопку Далее>.
5.В окнах «Применение политик управления доступом», «Настроить разрешения для приложений», «Сводка», «Завершить» оставьте значения по умолчанию и нажмите на кнопку Закрыть.
Настройка правил утверждений на сервере AD FS
Правила утверждения (claims) нужны для автоматического входа пользователя. В настройках необходимо указать, что службы AD FS будут передавать правило Имя учетной записи Windows. Для этого:
1.В окне утилиты «Управление AD FS» перейдите в узел Группы приложений.
2.Выделите имя созданной ранее группы и в контекстном меню нажмите на кнопку Свойства.
3.В открывшемся окне выберите приложение из раздела «Веб-интерфейс API» (например, «sa1 – Веб-интерфейс API»), нажмите на кнопку Изменить….
4.На вкладке «Правила преобразования выдачи» нажмите на кнопку Добавить правило…. Откроется окно «Мастер добавления правила преобразования утверждения».
5.В окне «Выберите тип правила» в выпадающем списке Шаблоны правила утверждения: выберите пункт Проход через входящее утверждение или его фильтрация и нажмите на кнопку Далее>.
В окне «Настройте правило утверждения» в поле Имя правила утверждения: введите значение, например, winaccountname. Затем в выпадающем списке Тип входящего утверждения: выберите пункт Имя учетной записи Windows и нажмите на кнопку Готово.
В результате в списке «Правила преобразования выдачи» появляется правило winaccountname:
Настройка времени жизни refresh-токена
Если в течение времени жизни refresh-токена пользователь остается неактивным, для последующего входа в приложение ему потребуется снова ввести аутентификационные данные. Чтобы настроить время жизни токена:
1.На сервере AD FS запустите Windows Powershell.
2.В параметре DeviceUsageWindowInDays укажите время жизни токена в днях. Рекомендуемое значение – 365 дней:
Set-AdfsProperties -DeviceUsageWindowInDays 365
3.Проверьте значение параметра KmsiEnabled с помощью команды:
Get-AdfsProperties KmsiEnabled
Настройте остальные параметры в зависимости от значения параметра:
•если значение True, укажите время жизни токена в минутах в параметре KmsiLifetimeMins. Рекомендуемое значение – 525600 минут (365 дней):
Set-AdfsProperties –KmsiLifetimeMins 525600
•если значение False, укажите время жизни токена в минутах в параметре SsoLifetime. Рекомендуемое значение – 525600 минут (365 дней):
Set-AdfsProperties –SsoLifetime 525600
Настройка параметров в конфигурационном файле NOMAD
Заполните параметры в конфигурационном файле SungeroAdapter.config:
•authority – адрес AD FS-сервера;
•clientId – идентификатор клиентского приложения;
•resourceId – идентификатор веб-интерфейса API, к которому запрашивается доступ;
•issuerUri – идентификатор службы федерации. Отображается в свойствах AD FS;
•federationMetadataPath – локальный путь до файла метаданных AD FS, либо URL-адрес, по которому можно скачать метаданные AD FS;
•nameClaimType – тип утверждения для хранения имени доменной учетной записи Windows.
Пример настройки в конфигурационном файле SungeroAdapter.config:
<externalAuthentication>
<oauth2>
<provider>ADFS</provider>
<authority>https://adfs.server.com</authority>
<clientId>c1</clientId>
<resourceId>r0</resourceId>
<issuerUri>http://adfs.server.com/adfs/services/trust</issuerUri>
<federationMetadataPath>https://adfs.server.com/FederationMetadata/2007-06/FederationMetadata.xml</federationMetadataPath>
<nameClaimType>winaccountname</nameClaimType>
</oauth2>
</externalAuthentication>
| © Компания Directum, 2024 |