Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed Management Console

Indeed Management Console (Management Console) — это веб-приложение, которое работает на базе IIS. В Management Console осуществляется администрирование системы, через которую производятся все настройки системы и пользователей.

Как открыть Management Console
  • в браузере: http(s)://<днс_сервера>/am/mc
  • в IIS: <имя_машины>\сайты\Default Web Site\am\mc

Файлы для установки

Файлы для Management Console расположены в каталоге indeed AM <номер версии>/Indeed AM Management Console/<номер версии>.

  • IndeedAM.ManagementConsole-<номер версии>.x64.ru-ru.msi — пакет для установки Management Console.

Установка Management Console

Информация

Для работы Management Console требуется установленный .NET Framework 4.8.

Системные требования

Выполните установку Management Console через запуск пакета IndeedAM.ManagementConsole-<номер версии>.x64.ru-ru.msi.

По завершении установки будет предложено сгенерировать новый IDP сертификат. Это необязательная настройка.

Генерация сертификата необходима при аутентификации в Management Console с использованием Indeed Identity Provider

Данный сертификат не предназначен для организации SSL-соединения. 

Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок. 

Если флажок будет выставлен, то новый самоподписанный сертификат сгенерируется и установится в хранилище сертификатов (Local Machine→Personal). Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.

Привязка HTTPS в настройках в IIS Manager

Management Console является веб-приложением, которое работает на базе IIS, в процессе установки для Management Console включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки HTTPS.

Как это сделать
  1. Запустите IIS Manager и раскройте пункт Сайты (Sites).
  2. Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
  3. Нажмите Добавить (Add):
    • Тип (Type) — https.
    • Порт (Port) — 443.
    • Выберите SSL-сертификат (SSL Certificate).
  4. Сохраните привязку.

Если вы не намерены использовать протокол HTTPS, отключите требование SSL в настройках IIS для Management Console.

Также в этом случае необходимо в конфигурационном файле C:\inetpub\wwwroot\am\mc\Web.config изменить значение параметра requireSSL на false:

Пример
<httpCookies httpOnlyCookies="true" requireSSL="false" />

Редактирование конфигурационного файла

  1. Запустите редактор с правами администратора.

  2. Откройте конфигурационный файл консоли Web.config (находится в папке C:\inetpub\wwwroot\am\mc\Web.config).

  3. Укажите URL для подключения к Core Server для параметра Url в теге amAuthServer в формате http(s)://полное_dns_имя_сервера/am/core/.

    Пример
    <amAuthServer Url="https://amserv.indeed-id.local/am/core/">
Примечание

Для игнорирования ошибок сертификата сервера измените параметр isIgnoreCertErrors на значение true в файле applicationSettings.config (расположен по пути: am\mc\Config).

  1. Укажите URL для подключения к Log Server для параметра Url в теге logServer в формате http(s)://полное_dns_имя_сервера/ls/api.

    Пример
    <logServer Url="http://log.indeed-id.local/ls/api/">
    Примечание

    Если используется несколько серверов, укажите адрес балансировщика нагрузки.

  2. Сохраните изменения в файле и перезапустите сервер IIS.

Management Console будет доступен по адресу: http(s)://полное_dns_имя_сервера/am/mc/.

Настройка срока жизни сессии

Информация

Данная настройка не обязательна.

Чтобы изменить срок жизни сессии в Management Console, выполните следующее:

  1. Откройте конфигурационный файл applicationSettings.config (находится в папке C:\inetpub\wwwroot\am\mc\Config\applicationSettings.config).

  2. Для параметра sessionExpirationTimeInMinutes установите необходимое значение. Значение по умолчанию 30 (минут).

    Пример
    <amApplicationSettings 
      findUsersMaxResultCount="200" 
      isIgnoreCertErrors="false" 
      sessionExpirationTimeInMinutes="60" 
      allowOverrideRandomPasswordGeneration="false"
    />

  3. Сохраните изменения.

Аутентификация с помощью Indeed Identity Provider

Вы можете настроить защищенный вход в Management Console с использованием Identity Provider.

Важно!

Для входа в Management Console с использованием Identity Provider вам необходимо установить и настроить провайдер аутентификации.

Редактирование конфигурационного файла Management Console

Важно

Перед редактированием конфигурационного файла выполните следующие действия:

  1. Запустите Диспетчер служб IIS,
  2. Выберите <имя сервера>→Sites→Default Web Siteam→mc.
  3. Выберите Проверка подлинности и включите опции Анонимная проверка подлинности и Проверка подлинности с помощью форм.

  1. Откройте конфигурационный файл web.config из C:\inetpub\wwwroot\am\mc\Web.config.

  2. В параметре amAuthentication выполните следующие действия:

    • В строке mode укажите значение Saml

    • В строке loginUrl укажите адрес Identity Provider в формате http(s)://полное_dns_имя_сервера/am/idp/

      Пример
      <amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/>

    • В строке identityProviderCertificateThumbprint укажите отпечаток сертификата Identity Provider.

      Совет

      Если Identity Provider и Management Console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с модулем Identity Provider на сервер с Management Console. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.

      Чтобы получить отпечаток сертификата с помощью запроса PowerShell:
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}

    • В строке serviceProviderCertificateThumbprintукажите отпечаток сертификата Management Console, который был сгенерирован при установке пакета.

      Информация

      Сертификат устанавливается в хранилище сертификатов Local Machine→Personal с общим именем mcsp.

      Чтобы получить отпечаток сертификата с помощью запроса PowerShell:
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}

  3. Сохраните изменения и перезапустите IIS.

Редактирование конфигурационного файла Identity Provider

Важно

Перед редактированием конфигурационного файла выполните следующие действия:

  1. Запустите Диспетчер служб IIS,
  2. Выберите <имя сервера>→Sites→Default Web Siteam→idp.
  3. Выберите Проверка подлинности и отключите опцию Проверка подлинности Windows.

  1. Откройте конфигурационный файл app-settings.json из C:\inetpub\wwwroot\am\idp.

  2. В параметре PartnerServiceProviderConfigurations выполните следующие действия: 

    • В строке SingleLogoutServiceUrlукажите адрес сервера с компонентом Management Console в формате http(s)://полное_dns_имя_сервера/am/mc/Account/SLOService

    • В строке Thumbprint укажите отпечаток сертификата Management Console.

      Информация

      Если Identity Provider и management console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с management console на сервер с модулем Identity Provider. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.

      Чтобы получить отпечаток сертификата с помощью запроса PowerShell:
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$\_.Subject -eq "CN=mcsp"}
      Пример
      "PartnerServiceProviderConfigurations": 
                {
                  "Name": "urn:indeedid:emc",
                  "SingleLogoutServiceUrl": "https://server.indeed.local/am/mc/Account/SLOService",
                  "PartnerCertificates": [
                    {
                      "Thumbprint": "C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"

  3. Сохраните изменения и перезапустите IIS.

Настройка выхода из Management Console с использованием Identity Provider

  1. Откройте конфигурационный файл консоли web.config из C:\inetpub\wwwroot\am\mc\Web.config.

  2. В параметр amAuthentication добавьте параметр enableLogout со значением true (по умолчанию установлено значение false).

    Пример
    <amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/" enableLogout="true"/>

  3. Откройте конфигурационный файл Identity Provider app-settings.json из C:\inetpub\wwwroot\am\idp.

  4. Измените параметр PartnerServiceProviderConfigurations. В строке SingleLogoutServiceUrlукажите адрес сервера с компонентом Management Console в формате http(s)://полное_dns_имя_сервера/am/mc/Account/SLOService

    Пример
    "PartnerServiceProviderConfigurations": [
              {
                ...
                "SingleLogoutServiceUrl": "https://server01.test.local/am/mc/Account/SLOService",
                ...
                ]
              }

  5. Сохраните изменения и перезапустите IIS.

Вы можете настроить поиск пользователей в Management Console по следующим запросам:

  • по имени,
  • по фамилии,
  • по логину,
  • по имени пользователя в каталоге Active Directory,
  • по имени и фамилии.

Для настройки используйте файл userSearchSettings.config из папки C:\inetpub\wwwroot\am\mc\Config

searchTemplate — в параметре задается шаблон поиска. Примеры допустимых шаблонов: **{0}, {0}*, *{0}* .
searchByGivenName — поиск по имени. Значение по умолчанию true
searchBySn — поиск по фамилии. Значение по умолчанию true
searchByUpn — поиск по логину. Значение по умолчанию true
searchByGivenNameAndSn — поиск по имени+фамилии и фамилии+имени. Значение по умолчанию true
searchByName — поиск по имени, которое отображается в списке пользователей в Active Directory. Значение по умолчанию true*. 

Для удобства поиска вы можете использовать шаблоны.

Пример запросаКомментарий
иван*В зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, начинающиеся на «иван».
ваВ зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, содержащие «ва» в начале, середине или конце.
*новВ зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, заканчивающиеся на «нов».
иванЗапрос без * будет приведен к шаблону, который вы указали в параметре searchTemplate. Если шаблон searchTemplate не указан, то к запросу будут добавлены * с обеих сторон.
**иван ** иван**Примеры неправильных запросов. Не возвращают результат поиска.

Отключение отображения информации о платформе и версии

Чтобы не добавлять заголовки с информацией о платформе и версии, на которой разрабатывалось приложение, в response нужно:

  1. Откройте конфигурационный файл Management Console C:\inetpub\wwwroot\am\mc\Web.config.

  2. В зависимости от версии IIS:

    • Для IIS 10 перенесите комментарий в секции security со второй на третью строчку: 

      Пример
      <security>
        <!--<requestFiltering removeServerHeader="true" >-->
        <requestFiltering>
          <requestLimits maxAllowedContentLength="104857600" />
        </requestFiltering>
      </security>

    • IIS выше 10 версии: 

      • Установите URL Rewrite.

      • В секцию system.webServer добавьте следующее:

        <rewrite>
          <outboundRules>
            <rule name="replace server header" patternSyntax="Wildcard" lockItem="false">
              <match serverVariable="RESPONSE_SERVER" pattern="*" />
              <action type="Rewrite" value="MyServer" />
            </rule>
          </outboundRules>
        </rewrite>