Indeed User Console

Indeed User Console (User Console) — это веб-приложение, которое работает на базе IIS. В User Console пользователь может управлять своими аутентификаторами. 

Как открыть User Console

• в браузере: http(s)://<днс_сервера>/am/uc
• в IIS: <имя_машины>\сайты\Default Web Site\am\uc

Чтобы настроить User Console:

1. Установите модуль.
2. Создайте привязку HTTPS в настройках IIS.
3. Настройте аутентификацию.
4. При необходимости задайте опциональные настройки.

Установить User Console

Прежде чем начать установку, ознакомьтесь с системными требованиями.

Чтобы установить User Console:

1. Запустите IndeedAM.UserConsole-<номер версии>.x64.ru-ru.msi, расположенный по пути Indeed AM <номер версии>\User Console\<номер версии>.

2. По завершении установки будет предложено сгенерировать новый сертификат IDP. Это необязательная настройка.

Сертификат необходим при аутентификации в User Console с использованием Indeed Identity Provider. Данный сертификат не предназначен для организации SSL-соединения.

Если данный сертификат был сгенерирован ранее, отключите опцию. 

Если опция включена, то новый самоподписанный сертификат сгенерируется и установится в хранилище сертификатов Local Machine→Personal. Сертификат используется для шифрования данных, передаваемых между сервером аутентификации и клиентским приложением.

Создать привязку HTTPS

В процессе установки для User Console в настройках IIS включается обязательное требование SSL-сертификата. Поэтому для корректной работы модуля необходимо создать привязку HTTPS.

Чтобы создать привязку HTTPS:

1. В Диспетчере служб IIS в левом меню выберите Indeed AM → сайты → Default Web Site
2. В правом меню в разделе Действия нажмите Привязки.
3. Нажмите Добавить и в открывшемся окне задайте следующие параметры:

• В поле Тип выберите https.
• В поле Порт укажите 443.
• В поле SSL-сертификат выберите сертификат Core Server.

4. Нажмите ОК, чтобы сохранить привязку.

Если вы не намерены использовать протокол HTTPS, отключите требование SSL-сертификата в настройках IIS для User Console.

Также в конфигурационном файле C:\inetpub\wwwroot\am\uc\Web.config измените значение параметра requireSSL на false:

Пример

<httpCookies httpOnlyCookies="true" requireSSL="false" />

Настроить аутентификацию

По умолчанию дял User Console настроена SAML-аутентификация, но можно настроить другие способы аутентификации.

Windows Authentication

С помощью Windows Authentication

Чтобы настроить аутентификацию в User Console с помощью Windows Password, включите проверку подлинности Windows и отредактируйте конфигурационный файл консоли.

Включить проверку подлинности Windows

1. В Диспетчере служб IIS в левом меню раскройте узел Indeed AM → сайты → Default Web Site → am → uc.

2. Нажмите Проверка подлинности.

3. Включите Олицетворение ASP.NET и Проверка подлинности Windows. Все остальные методы проверки подлинности должны быть отключены.

Изменить конфигурационный файл

1. Откройте конфигурационный файл консоли C:\inetpub\wwwroot\am\uc\Web.config от имени администратора.

2. В разделе amAuthServer в параметре Url укажите адрес для подключения к Core Server http(s)://полное_dns_имя_сервера/am/core/.

   Пример

   <amAuthServer Url="https://amcore.test.local/am/core/"/>

3. В разделе amAuthentication в параметре mode укажите значение Windows. Опционально вы можете добавить параметр enableLogout="true", чтобы настроить возможность выйти из User Console.

   Параметр loginUrl оставьте без изменений, при использовании аутентификации Windows данный параметр не учитывается.

   Пример

   <amAuthentication mode="Windows" loginUrl="" identityProviderCertificateThumbprint="" serviceProviderCertificateThumbprint="" enableLogout="true"/>
   

4. Сохраните изменения в файле и перезапустите сервер IIS.

User Console будет доступна по адресу: http(s)://полное_dns_имя_сервера/am/uc/.

Примечание

Чтобы при входе в консоль игнорировались ошибки сертификата сервера, измените значение параметра isIgnoreCertErrors на true в файле C:\inetpub\wwwroot\am\uc\Config\applicationSettings.config.

Indeed Identity Provide

С помощью Indeed Identity Provider

Чтобы настроить защищенный вход в User Console с использованием Identity Provider:

1. Установите и настройте модуль Identity Provider.
2. Установите и настройте провайдер аутентификации.
3. Настройте проверку подлинности в Диспетчере служб IIS.
4. Отредактируйте конфигурационные файлы User Console и Identity Provider.

Также можно настроить выход из User Console с использованием Identity Provider.

Настроить проверку подлинности

1. В Диспетчере служб IIS в левом меню раскройте узел Indeed AM → сайты → Default Web Site → am → uc.

2. Нажмите Проверка подлинности.

3. Включите опции Анонимная проверка подлинности и Проверка подлинности с помощью форм. Все остальные методы проверки подлинности должны быть отключены.

Изменить конфигурационный файл User Console

1. Откройте конфигурационный файл консоли C:\inetpub\wwwroot\am\uc\Web.config.

2. В разделе amAuthServer в параметре Url укажите адрес для подключения к Core Server http(s)://полное_dns_имя_сервера/am/core/.

   Пример

   <amAuthServer Url="https://amcore.test.local/am/core/">

3. В разделе amAuthentication внесите следующие изменения:

   • В параметре mode укажите значение Saml

   • В параметре loginUrl укажите адрес Identity Provider в формате http(s)://полное_dns_имя_сервера/am/idp/

     Пример

     <amAuthentication mode="Saml" loginUrl="https://amcore.test.local/am/idp/>

   • В параметре identityProviderCertificateThumbprint укажите отпечаток сертификата Identity Provider.

     Чтобы получить отпечаток сертификата, используйте запрос PowerShell:

     Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}
     Совет

     Если Identity Provider и User Console установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с модулем Identity Provider на сервер с User Console. Добавьте сертификат в хранилище сертификатов в раздел Local Machine → Personal.

   • В параметре serviceProviderCertificateThumbprint укажите отпечаток сертификата User Console, который был сгенерирован при установке пакета. Сертификат устанавливается в хранилище сертификатов Local Machine→Personal с общим именем ucsp.

     Чтобы получить отпечаток сертификата, используйте запрос PowerShell:

     Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}

4. Сохраните изменения и перезапустите IIS.

User Console будет доступна по адресу: http(s)://полноеdnsимя_сервера/am/uc/.

Изменить конфигурационный файл Identity Provider

1. Откройте конфигурационный файл C:\inetpub\wwwroot\am\idp\app-settings.json.

2. В разделе PartnerServiceProviderConfigurations внесите следующие изменения:

   • В параметре SingleLogoutServiceUrl укажите адрес сервера с установленным компонентом Management Console в формате http(s)://полное_dns_имя_сервера/am/uc/Account/SLOService

   • В параметре Thumbprint укажите отпечаток сертификата User Console, который был сгенерирован при установке пакета.

     Совет

     Если Identity Provider и User Console были установлены на разные серверы, экспортируйте сертификат без закрытого ключа с сервера с User Console на сервер с модулем Identity Provider. Добавьте сертификат в хранилище сертификатов в раздел Local Machine → Personal.

     Чтобы получить отпечаток сертификата, используйте запрос PowerShell:

     Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=ucsp"}

Пример

  "PartnerServiceProviderConfigurations": 
            {
              "Name": "urn:indeedid:emc",
              "SingleLogoutServiceUrl": "https://server.indeed.local/am/uc/Account/SLOService",
              "PartnerCertificates": [
                {
                  "Thumbprint": "C77EDF29EA05B468BDAF553DE3D804DA4B139C1E"

3. В параметре AllowWinPwdIfAuthMethodsAreNotAvailable вы можете установить значение true, что позволит войти через IDP в User Console с использованием Windows Password, даже если этот способ не указан в конфигурационном файле app-settings.json.

   Если в параметре AllowWinPwdIfAuthMethodsAreNotAvailable указано значение true, возможны следующие сценарии:

   • Отображаются только зарегистрированные и доступные пользователю методы аутентификации. При многофакторной аутентификации если хотя бы один из методов аутентификации не доступен, вся цепочка не отображается.
   • При отсутствии любых доступных методов аутентификации, включая методы, не требующие регистрации в User Console (Windows Password, Email и SMS), отображается Windows Password.

4. Сохраните изменения и перезапустите IIS.

Пример входа в User Console с использованием Identity Provider

1. Откройте в браузере интерфейс User Console. Пример адреса консоли: http(s)://полное_dns_имя_сервера/am/uc/.

2. В появившемся окне аутентификации нажмите Back для выбора способа аутентификации. По умолчанию используется последний используемый способ.

3. Выберите способ аутентификации и нажмите Select. 

   Примечание

   Если у пользователя нет зарегистрированного аутентификатора, выберите Windows Password.

   Выход в сессии пользователя из Identity Provider не влечет за собой выход пользователя из User Console до перезапуска браузера или истечения срока хранения cookie. Время хранения cookie для Identity Provider — 30 минут.

4. Введите пароль и нажмите Sing in. Если данные введены успешно, то отобразится карточка пользователя.

5. Если у вас настроен выход из User Console с помощью Identity Provider, чтобы выйти из консоли:

   • Нажмите имя пользователя в верхней части окна.

   • Выберите Выйти из выпадающего списка.

При выходе из User Console происходит автоматический выход из Identity Provider.

Опциональные настройки

• Настроить выход с помощью Identity Provider
• Включить защиту от перебора
• Настроить срок жизни сессии
• Отключить отображение информации о платформе и версии
• Отключить возможность смены локализации