Администрирование (Windows) > Общесистемные настройки > Настройка аутентификации

Для аутентификации по протоколу SAML 2.0 сначала нужно заполнить параметры в конфигурационном файле Directum RX.

В параметрах указываются значения, которые в дальнейшем необходимо задать при настройке на стороне внешнего провайдера. В документации приведен пример настройки ADFS 2016 и выше и Microsoft Entra ID (ранее Azure AD).

В конфигураторе Directum Launcher в секции Общие настройки (common_config) добавьте параметры:

•EXTERNAL_AUTHENTICATION_TYPE – тип аутентификации. Укажите значение Saml2;

•ADFS_SAML_AUTHORITY – адрес провайдера идентификации. Поддерживается только протокол HTTPS;

•ADFS_SAML_RELYING_PARTY_ADDRESS – адрес веб-клиента Directum RX;

•ADFS_SAML_RELYING_PARTY_ID – идентификатор веб-клиента Directum RX в формате URL-адреса;

•ADFS_SAML_RELYING_PARTY_LOGIN_PATH – путь, по которому веб-клиент будет обрабатывать SAML-сообщения от провайдера идентификации. По умолчанию /saml;

•ADFS_SAML_RELYING_PARTY_METADATA_PATH – путь, по которому веб-клиент будет предоставлять свои метаданные. По умолчанию /saml/metadata;

•ADFS_SAML_RELYING_PARTY_SIGNING_CERTIFICATE_THUMBPRINT – отпечаток сертификата, которым веб-клиент будет подписывать отправляемые на сервер провайдера идентификации сообщения;

•ADFS_SAML_RELYING_PARTY_ENCRYPTION_CERTIFICATE_THUMBPRINT – отпечаток сертификата, открытым ключом которого провайдер идентификации будет шифровать отправляемые в веб-клиент сообщения. Как правило, сертификат для подписания и шифрования – это один и тот же сертификат;

•ADFS_SAML_RELYING_PARTY_SIGNING_ALGORITHM – алгоритм SHA256 или SHA1, с помощью которого веб-клиент будет подписывать отправляемые на сервер провайдера идентификации сообщения. Рекомендуется использовать алгоритм SHA256;

•ADFS_SAML_FEDERATION_METADATA_PATH – локальный путь до файла метаданных ADFS или URL-адрес, по которому можно скачать метаданные провайдера идентификации;

•AUTHENTICATION_WIN_ACCOUNT_CLAIM_TYPE – тип утверждения (claim type), в котором хранится уникальное имя пользователя, соответствующее имени учетной записи в системе Directum RX.

Пример настройки в config.yml при использовании ADFS:

EXTERNAL_AUTHENTICATION_TYPE: 'Saml2'
ADFS_SAML_AUTHORITY: 'https://adfs.server.com'
ADFS_SAML_RELYING_PARTY_ADDRESS: 'https://w704s16/client'
ADFS_SAML_RELYING_PARTY_ID: 'https://w704s16/client'
ADFS_SAML_RELYING_PARTY_SIGNING_CERTIFICATE_THUMBPRINT: 'dbd07826e248189c4275c433f71ba66a86939d6a'
ADFS_SAML_RELYING_PARTY_ENCRYPTION_CERTIFICATE_THUMBPRINT: '‎‎‎‎‎dbd07826e248189c4275c433f71ba66a86939d6a'
ADFS_SAML_RELYING_PARTY_SIGNING_ALGORITHM: 'SHA256'
ADFS_SAML_FEDERATION_METADATA_PATH: '{{home_path}}/client/adfs_metadata.xml'

ПРИМЕЧАНИЕ. При использовании ADFS параметры AUTHENTICATION_WIN_ACCOUNT_CLAIM_TYPE и ADFS_SAML_FEDERATION_METADATA_PATH необязательны. Путь до метаданных можно указать при настройке.

Пример настройки в config.yml при использовании Microsoft Entra ID:

EXTERNAL_AUTHENTICATION_TYPE: 'Saml2'
ADFS_SAML_AUTHORITY: 'https://login.microsoftonline.com/706ec908-3e31-4a23-b1f5-139a3d0673f9/saml2'
ADFS_SAML_RELYING_PARTY_ADDRESS: 'https://localhost/client'
ADFS_SAML_RELYING_PARTY_ID: 'https://localhost/client'
ADFS_SAML_RELYING_PARTY_SIGNING_CERTIFICATE_THUMBPRINT: 'd942b14b4cd7880613b130f1c1a8e08054220f29' 
ADFS_SAML_RELYING_PARTY_ENCRYPTION_CERTIFICATE_THUMBPRINT: 'd942b14b4cd7880613b130f1c1a8e08054220f29'
ADFS_SAML_RELYING_PARTY_SIGNING_ALGORITHM: 'SHA256'
ADFS_SAML_FEDERATION_METADATA_PATH: 'https://login.microsoftonline.com/706ec908-3e31-4a23-b1f5-139a3d0673f9/federationmetadata/2007-06/federationmetadata.xml?appid=a7efeb6f-e7de-4c9d-8190-6e4daa1e96b8'
AUTHENTICATION_WIN_ACCOUNT_CLAIM_TYPE: 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'