Indeed Management Console

Indeed Management Console (Management Console) — это веб-приложение, которое работает на базе IIS. В Management Console осуществляется администрирование системы, через которую производятся все настройки системы и пользователей.

Как открыть Management Console

в браузере: http(s)://<днс_сервера>/am/mc
в IIS: <имя_машины>\сайты\Default Web Site\am\mc

Файлы для установки

Файлы для Management Console расположены в каталоге indeed AM <номер версии>/Indeed AM Management Console/<номер версии>.

IndeedAM.ManagementConsole-<номер версии>.x64.ru-ru.msi — пакет для установки Management Console.

Установка Management Console

Информация

Для работы Management Console требуется установленный .NET Framework 4.8.

Системные требования

Выполните установку Management Console через запуск пакета IndeedAM.ManagementConsole-<номер версии>.x64.ru-ru.msi.

По завершении установки будет предложено сгенерировать новый IDP сертификат. Это необязательная настройка.

Генерация сертификата необходима при аутентификации в Management Console с использованием Indeed Identity Provider.

Данный сертификат не предназначен для организации SSL-соединения.

Если данный сертификат был сгенерирован ранее, то необходимо убрать флажок.

Если флажок будет выставлен, то новый самоподписанный сертификат сгенерируется и установится в хранилище сертификатов (Local Machine→Personal). Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.

Привязка HTTPS в настройках в IIS Manager

Management Console является веб-приложением, которое работает на базе IIS, в процессе установки для Management Console включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки HTTPS.

Как это сделать

Запустите IIS Manager и раскройте пункт Сайты (Sites).
Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
Нажмите Добавить (Add):
- Тип (Type) — https.
- Порт (Port) — 443.
- Выберите SSL-сертификат (SSL Certificate).
Сохраните привязку.

Если вы не намерены использовать протокол HTTPS, отключите требование SSL в настройках IIS для Management Console.

Также в этом случае необходимо в конфигурационном файле C:\inetpub\wwwroot\am\mc\Web.config изменить значение параметра requireSSL на false:

Пример
<httpCookies httpOnlyCookies="true" requireSSL="false" />

Редактирование конфигурационного файла

Запустите редактор с правами администратора.
Откройте конфигурационный файл консоли Web.config (находится в папке C:\inetpub\wwwroot\am\mc\Web.config).
Укажите URL для подключения к Core Server для параметра Url в теге amAuthServer в формате http(s)://полное_dns_имя_сервера/am/core/.
Пример
```
<amAuthServer Url="https://amserv.indeed-id.local/am/core/">
```

Примечание

Для игнорирования ошибок сертификата сервера измените параметр isIgnoreCertErrors на значение true в файле applicationSettings.config (расположен по пути: am\mc\Config).

Укажите URL для подключения к Log Server для параметра Url в теге logServer в формате http(s)://полное_dns_имя_сервера/ls/api.
Пример
```
<logServer Url="http://log.indeed-id.local/ls/api/">
```
Примечание
Если используется несколько серверов, укажите адрес балансировщика нагрузки.
Сохраните изменения в файле и перезапустите сервер IIS.

Management Console будет доступен по адресу: http(s)://полное_dns_имя_сервера/am/mc/.

Настройка срока жизни сессии

Информация

Данная настройка не обязательна.

Чтобы изменить срок жизни сессии в Management Console, выполните следующее:

Откройте конфигурационный файл applicationSettings.config (находится в папке C:\inetpub\wwwroot\am\mc\Config\applicationSettings.config).
Для параметра sessionExpirationTimeInMinutes установите необходимое значение. Значение по умолчанию 30 (минут).
Пример
```
<amApplicationSettings 
  findUsersMaxResultCount="200" 
  isIgnoreCertErrors="false" 
  sessionExpirationTimeInMinutes="60" 
  allowOverrideRandomPasswordGeneration="false"
/>
```
Сохраните изменения.

Вы можете настроить защищенный вход в Management Console с использованием Identity Provider.

Важно!

Для входа в Management Console с использованием Identity Provider вам необходимо установить и настроить провайдер аутентификации.

Редактирование конфигурационного файла Management Console

Важно

Перед редактированием конфигурационного файла выполните следующие действия:

Запустите Диспетчер служб IIS,
Выберите <имя сервера>→Sites→Default Web Site→am→mc.
Выберите Проверка подлинности и включите опции Анонимная проверка подлинности и Проверка подлинности с помощью форм.

Откройте конфигурационный файл web.config из C:\inetpub\wwwroot\am\mc\Web.config.
В параметре amAuthentication выполните следующие действия:
- В строке mode укажите значение Saml
- В строке loginUrl укажите адрес Identity Provider в формате http(s)://полное_dns_имя_сервера/am/idp/
  Пример
```
<amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/>
```
- В строке identityProviderCertificateThumbprint укажите отпечаток сертификата Identity Provider.
  Совет
  Если Identity Provider и Management Console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с модулем Identity Provider на сервер с Management Console. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.
  Чтобы получить отпечаток сертификата с помощью запроса PowerShell:
```
Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}
```
- В строке serviceProviderCertificateThumbprintукажите отпечаток сертификата Management Console, который был сгенерирован при установке пакета.
  Информация
  Сертификат устанавливается в хранилище сертификатов Local Machine→Personal с общим именем mcsp.
  Чтобы получить отпечаток сертификата с помощью запроса PowerShell:
```
Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}
```
Сохраните изменения и перезапустите IIS.

Редактирование конфигурационного файла Identity Provider

Важно

Перед редактированием конфигурационного файла выполните следующие действия:

Запустите Диспетчер служб IIS,
Выберите <имя сервера>→Sites→Default Web Site→am→idp.
Выберите Проверка подлинности и отключите опцию Проверка подлинности Windows.

Откройте конфигурационный файл app-settings.json из C:\inetpub\wwwroot\am\idp.
В параметре PartnerServiceProviderConfigurations выполните следующие действия:
- В строке SingleLogoutServiceUrlукажите адрес сервера с компонентом Management Console в формате http(s)://полное_dns_имя_сервера/am/mc/Account/SLOService
- В строке Thumbprint укажите отпечаток сертификата Management Console.
  Информация
  Если Identity Provider и management console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с management console на сервер с модулем Identity Provider. Сертификат необходимо добавить в хранилище сертификатов в Local Machine→Personal.
  Чтобы получить отпечаток сертификата с помощью запроса PowerShell:
```
Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mcsp"}
```
  Пример
```
"PartnerServiceProviderConfigurations": 
          {
            "Name": "urn:indeedid:emc",
            "SingleLogoutServiceUrl": "https://server.indeed.local/am/mc/Account/SLOService",
            "PartnerCertificates": [
              {
                "Thumbprint": "C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"
```
Сохраните изменения и перезапустите IIS.

Настройка выхода из Management Console с использованием Identity Provider

Откройте конфигурационный файл консоли web.config из C:\inetpub\wwwroot\am\mc\Web.config.
В параметр amAuthentication добавьте параметр enableLogout со значением true (по умолчанию установлено значение false).
Пример
```
<amAuthentication mode="Saml" loginUrl="https://server.test.local/am/idp/" enableLogout="true"/>
```
Откройте конфигурационный файл Identity Provider app-settings.json из C:\inetpub\wwwroot\am\idp.
Измените параметр PartnerServiceProviderConfigurations. В строке SingleLogoutServiceUrlукажите адрес сервера с компонентом Management Console в формате http(s)://полное_dns_имя_сервера/am/mc/Account/SLOService
Пример
```
"PartnerServiceProviderConfigurations": [
          {
            ...
            "SingleLogoutServiceUrl": "https://server01.test.local/am/mc/Account/SLOService",
            ...
            ]
          }
```
Сохраните изменения и перезапустите IIS.

Настройка поиска по пользователям

Вы можете настроить поиск пользователей в Management Console по следующим запросам:

по имени,
по фамилии,
по логину,
по имени пользователя в каталоге Active Directory,
по имени и фамилии.

Для настройки используйте файл userSearchSettings.config из папки C:\inetpub\wwwroot\am\mc\Config.

searchTemplate — в параметре задается шаблон поиска. Примеры допустимых шаблонов: **{0}, {0}*, *{0}* .
searchByGivenName — поиск по имени. Значение по умолчанию true.
searchBySn — поиск по фамилии. Значение по умолчанию true.
searchByUpn — поиск по логину. Значение по умолчанию true.
searchByGivenNameAndSn — поиск по имени+фамилии и фамилии+имени. Значение по умолчанию true.
searchByName — поиск по имени, которое отображается в списке пользователей в Active Directory. Значение по умолчанию true*.

Для удобства поиска вы можете использовать шаблоны.

Пример запроса	Комментарий
иван*	В зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, начинающиеся на «иван».
ва	В зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, содержащие «ва» в начале, середине или конце.
*нов	В зависимости от ваших настроек ищет пользователя с именем, фамилией, логином или именем+фамилией, именем пользователя в AD, заканчивающиеся на «нов».
иван	Запрос без * будет приведен к шаблону, который вы указали в параметре searchTemplate. Если шаблон searchTemplate не указан, то к запросу будут добавлены * с обеих сторон.
иван иван**	Примеры неправильных запросов. Не возвращают результат поиска.

Отключение отображения информации о платформе и версии

Чтобы не добавлять заголовки с информацией о платформе и версии, на которой разрабатывалось приложение, в response нужно:

Откройте конфигурационный файл Management Console C:\inetpub\wwwroot\am\mc\Web.config.

В зависимости от версии IIS:

Для IIS 10 перенесите комментарий в секции security со второй на третью строчку:

Пример
<security>
  <!--<requestFiltering removeServerHeader="true" >-->
  <requestFiltering>
    <requestLimits maxAllowedContentLength="104857600" />
  </requestFiltering>
</security>

IIS выше 10 версии:

Установите URL Rewrite.

В секцию system.webServer добавьте следующее:

<rewrite>
  <outboundRules>
    <rule name="replace server header" patternSyntax="Wildcard" lockItem="false">
      <match serverVariable="RESPONSE_SERVER" pattern="*" />
      <action type="Rewrite" value="MyServer" />
    </rule>
  </outboundRules>
</rewrite>

Файлы для установки​

Установка Management Console​

Привязка HTTPS в настройках в IIS Manager​

Редактирование конфигурационного файла​

Настройка срока жизни сессии​

Аутентификация с помощью Indeed Identity Provider​

Редактирование конфигурационного файла Management Console​

Редактирование конфигурационного файла Identity Provider​

Настройка выхода из Management Console с использованием Identity Provider​

Настройка поиска по пользователям​

Отключение отображения информации о платформе и версии​