Для работы аутентификации по протоколу SAML 2.0 на сервере ADFS 2016 и выше настройте:

1.Проверяющую сторону

2.Автоматическую загрузку метаданных

3.Правила утверждений

Настройка проверяющей стороны (Relying Party)

1.Откройте страницу с метаданными, например, https://localhost/drxweb/saml/metadata. Замените https://localhost/drxweb на адрес веб-клиента, который вы указали при установке системы. Сохраните метаданные в файл.

2.В диспетчере серверов в выпадающем списке Средства выберите пункт Управление AD FS. Откроется окно утилиты.

3.Перейдите в узел Отношения доверия проверяющей стороны и в контекстном меню нажмите на кнопку Добавить отношение доверия проверяющей стороны. Откроется мастер добавления отношений проверяющей стороны.

4.На шаге «Добро пожаловать» убедитесь, что установлен переключатель Поддерживающие утверждения и нажмите на кнопку Запустить.

5.На шаге «Выбор источника данных»:

•установите переключатель Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети;

•в поле Адрес метаданных федерации (имя узла URL-адрес) укажите путь по которому можно скачать метаданные ADFS, например, https://localhost/drxweb/saml/metadata;

•нажмите на кнопку Далее.

6.На шаге «Указание отображаемого имени»:

•в поле Отображаемое имя введите имя проверяющей стороны, которое будет отображаться в списке «Отношения доверия проверяющей стороны»;

•нажмите на кнопку Далее.

7.На шаге «Выбрать политику управления доступом» и «Готовность для добавления отношения доверия» оставьте значения по умолчанию и нажмите на кнопку Далее.

8.На шаге «Готово» снимите флажок Открыть диалоговое окно «Изменение правил утверждений» и нажмите на кнопку Закрыть.

В результате в списке «Отношения доверия проверяющей стороны» появится запись с именем проверяющей стороны.

Если сертификат, используемый для настройки шифрования, не поддерживает подписание по алгоритму SHA256:

1.Выделите запись с именем проверяющей стороны и в контекстном меню выберите пункт Свойства.

2.В открывшемся окне перейдите на закладку «Дополнительно» и в выпадающем списке Алгоритм SHA выберите пункт SHA-1.

Настройка автоматической загрузки метаданных

В окне утилиты «Управление AD FS» перейдите в узел Отношения доверия проверяющей стороны, выберите запись с именем проверяющей стороны и откройте ее. Перейдите на вкладку «Мониторинг»:

•в поле Адрес метаданных федерации (имя узла URL-адрес) проверьте, что указан ранее настроенный путь, по которому можно скачать метаданные ADFS. Например, https://localhost/drxweb/saml/metadata;

•установите флажки Мониторить проверяющую сторону и Автоматически обновлять проверяющую сторону.

Настройка правил утверждений

Правила утверждения (claims) нужны для автоматического входа пользователя в веб-клиент Directum RX. В настройках необходимо указать, что ADFS будет передавать в веб-клиент правила Имя учетной записи Windows и Основной SID.

Чтобы настроить передачу правила Windows account name:

1.В окне утилиты «Управление AD FS» перейдите в узел Отношения доверия проверяющей стороны.

2.Выделите имя проверяющей стороны, которую вы создали, и в контекстном меню нажмите на кнопку Изменить политику подачи запросов.

3.В открывшемся окне нажмите на кнопку Добавить правило. Откроется мастер добавления правила преобразования утверждения.

4.На шаге «Выберите тип правила» в выпадающем списке Шаблоны правила утверждения выберите пункт Проход через входящее утверждение или его фильтрация и нажмите на кнопку Далее.

5.На шаге «Настройте правило утверждения» в поле Имя правила утверждения введите значение, например, WIN_ACC_NAME.

Затем в выпадающем списке Тип входящего утверждения выберите пункт Имя учетной записи Windows и нажмите на кнопку Готово.

6.Настройте передачу Primary SID. Для этого повторите те же действия, что и для Имя учетной записи Windows, только на шаге «Настройте правило утверждения»:

•в поле Имя правила утверждения введите значение, например, P_SID;

•в выпадающем списке Тип входящего утверждения выберите пункт Основной SID;

•нажмите на кнопку Готово.

В результате в списке появится два правила:

© Компания Directum, 2025