Перейти к основному содержимому

Создать OIDC-федерацию для AD FS

  1. Настройте федерацию на стороне AD FS.
  2. Создайте федерацию на стороне Servercore.
  3. Добавьте идентификатор федерации Servercore в федерацию AD FS.
  4. Если при создании федерации на стороне Servercore вы включили автосоздание пользователей, настройте сопоставление групп пользователей.

1. Настроить федерацию на стороне AD FS

  1. На сервере AD FS откройте Server Manager.

  2. Нажмите правой кнопкой мыши на раздел Application Group и выберите Add Application Group.

  3. На этапе Welcome:

    3.1. В поле Name введите имя федерации.

    3.2. В блоке Templates выберите шаблон Server application accessing a web.

    3.3. Нажмите Next.

  4. На этапе Server application:

    4.1. Скопируйте и сохраните значение поля Client Identifier.

    4.2. В поле Redirect URI введите https://api.servercore.com/v1/auth/federations/oidc/.

    4.3. Нажмите Next.

  5. На этапе Configure Application Credentials:

    5.1. Отметьте чекбокс Generate shared secret. Будет сгенерирован секрет.

    5.2. Нажмите Copy to clipboard и сохраните значение секрета. Посмотреть его позже будет нельзя.

    5.3. Нажмите Next.

  6. На этапе Apply Access Control Policy:

    6.1. Выберите политику доступа.

    6.2. Нажмите Next.

  7. На этапе Configure Application Permissions:

    7.1. В блоке Permitted scopes отметьте чекбоксы email, openid, profile.

    7.2. Нажмите Next.

  8. На этапе Summary нажмите Next.

  9. На этапе Complete нажмите Save.

2. Создать федерацию на стороне Servercore

  1. В панели управления в верхнем меню нажмите IAM.

  2. Перейдите в раздел Федерации.

  3. Нажмите Добавить федерацию и выберите OpenID Connect (OIDC).

  4. В блоке Настройки федерации:

    4.1. Введите имя федерации.

    4.2. Опционально: введите описание федерации.

    4.3. Измените время жизни сессии или оставьте значение по умолчанию (24 часа). Сессия определяет время, в течение которого пользователь будет авторизован без необходимости повторной аутентификации. Вы можете указать значение от 1 до 720 часов.

  5. В блоке Настройки IDP:

    5.1. В поле IdP Issuer введите идентификатор поставщика удостоверений — https://<idp_url>/adfs. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.2. В поле Client ID введите идентификатор, который вы сохранили из поля Client Identifier при настройке федерации на стороне поставщика удостоверений на этапе 1 в шаге 4.1.

    5.3. В поле Client Secret введите секрет, который вы получили при настройке федерации на этапе 1 в шаге 5.2.

    5.4. В поле Auth URL введите ссылку на страницу входа поставщика удостоверений, куда пользователи будут перенаправляться для аутентификации через SSO — https://<idp_url>/adfs/oauth2/authorize/. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.5. В поле Token URL введите токен-эндпоинт — https://<idp_url>/adfs/oauth2/token/. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.6. В поле JWSK URI введите эндпоинт с сертификатами — https://<idp_url>/adfs/discovery/keys. Укажите <idp_url> — ваш URL у поставщика удостоверений.

    5.7. Чтобы пользователи создавались автоматически при первом входе в панель управления по SSO, отметьте чекбокс Автосоздание пользователей.

    Если чекбокс отмечен, вам потребуется настроить сопоставление групп пользователей. Пользователи будут создаваться с разрешениями, которые вы укажете при настройке сопоставления. Если включить автосоздание пользователей и не настроить сопоставление, пользователи будут создаваться без разрешений и не будут иметь доступа в панель управления.

    Если не отметить чекбокс Автосоздание пользователей, пользователей потребуется добавлять вручную.

  6. Нажмите Создать Федерацию.

3. Добавить идентификатор федерации Servercore в федерацию AD FS

  1. На сервере AD FS откройте Server Manager.
  2. В разделе Application Group откройте федерацию, которую вы настроили на стороне AD FS на этапе 1.
  3. В поле Redirect URI введите https://api.servercore.com/v1/auth/federations/oidc/<federation_id>/callback. Укажите <federation_id> — ID федерации на стороне Servercore, можно посмотреть в панели управления: в верхнем меню нажмите IAMФедерации → строка федерации → поле ID.
  4. Нажмите Save.

4. Настроить сопоставление групп пользователей

Настраивать сопоставление групп необходимо, если при создании федерации на стороне Servercore на этапе 2 вы включили автосоздание пользователей. Используйте подраздел Настроить сопоставление групп инструкции Сопоставление групп пользователей.