Skip to main content

Indeed Identity Provider

Модуль Indeed Identity Provider (ранее Indeed AM SAML IDP) используется для организации многофакторной аутентификации и сквозного доступа в веб-приложения. 

Начиная с версии Indeed AM Access Manager 8.1.5, модуль Indeed Identity Provider поддерживает следующие протоколы:

Важно

Если вы пользуетесь Indeed AM Access Manager 8.1.4 и ниже, необходимую информацию об установке и настройке модуля вы найдете на странице Indeed AM SAML IDP.

Identity Provider избавляет пользователя от необходимости запоминать множество учетных данных: для доступа во все интегрированные системы требуется только один комплект учетных данных. Аутентификация выполняется централизованно на стороне Identity Provider. 

В Identity Provider вы можете выполнить аутентификацию по следующим аутентификаторам:

Подготовка к установке

Перед установкой Identity Provider убедитесь, что на сервере установлен .NET 6 и необходимые компоненты Internet Information Services.

  • Для установки .NET 6 запустите утилиту dotnet-hosting-6.0.10-win.exe из Indeed AM <номер версии>/Indeed AM Idp.
Важно!

Корректная работа Identity Provider гарантируется только при использовании .NET 6.

  • Для установки компонентов Internet Information Services запустите скрипт Indeed.SAML.IIS.Install.MSSserver.ps1 из Indeed AM <номер версии>/Misc/IISScripts.

В папке Indeed AM <номер версии>/Indeed AM Idp расположены следующие файлы:

  • IndeedAM.IDP-v8.1.5.x64.ru-ru.msi — пакет для установки Identity Provider.
  • AccessManager.Tools.Importer.Services.Console.x64.exe — утилита для обновления Indeed AM SAML IDP до Identity Provider.
  • dotnet-hosting-6.0.10-win.exe — утилита для установки .NET 6.
Важно!

По умолчанию Identity Provider использует аутентификацию Windows. Для внедоменных сценариев включите анонимную аутентификацию.

Для этого выполните следующие действия:

  1. В Диспетчере служб IIS в меню слева выберите Indeed AM→сайты→Default Web Site→am→idp и нажмите значок Проверка подлинности.
  2. Включите опцию Анонимная проверка подлинности, остальные опции оставьте выключенными.

Установка Identity Provider

Чтобы установить и настроить Identity Provider, выполните следующие действия:

  1. Установите пакет IndeedAM.IDP-v8.2.2.x64.ru-ru.msi.

    Примечание

    По умолчанию после установки пакета создается и устанавливается новый сертификат сервера IDP. Сертификат шифрует данные, передаваемые между сервером Indeed AM Access Manager и конечными приложениями, например консолью администратора.

    Сертификат не предназначен для организации соединения по протоколу SSL. 

    Если сертификат был сгенерирован ранее, уберите флажок Создать и установить новый сертификат IDP сервера.

  1. Добавьте привязку в настройках IIS.
    • Запустите Диспетчер служб IIS и выберите Сайты (Sites).
    • Выберите Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
    • Нажмите Добавить (Add):
      • Тип (Type) — https.
      • Порт (Port) — 443.
      • Выберите SSL-сертификат (SSL Certificate).
    • Сохраните привязку.
Информация

Identity Provider — это веб-приложение, которое работает на базе IIS. По требованиям безопасности Identity Provider работает только по протоколу HTTPS. Не меняйте протокол, это снижает безопасность соединения.

Если вы планируете использовать соединение по протоколу HTTP, измените настройки в файле Web.config из C:\inetpub\wwwroot\am\idp.

В теге aspNetCore добавьте следующее:

<environmentVariables>
<environmentVariable name="ASPNETCORE_ENVIRONMENT" value="Development" />
</environmentVariables>

Должно получиться следующее:

<aspNetCore processPath="dotnet" arguments=".\AM.IDP.dll" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" hostingModel="inprocess">
<environmentVariables>
<environmentVariable name="ASPNETCORE_ENVIRONMENT" value="Development" />
</environmentVariables>
</aspNetCore>

Редактирование конфигурационного файла

В конфигурационном файле app-settings.json выполните следующие действия:

  1. Откройте конфигурационный файл app-settings.json из папки C:\inetpub\wwwroot\am\idp.

  2. Измените параметр AuthenticationServer. В строке Url укажите адрес сервера в формате http(s)://полное_dns_имя_сервера/am/core/.

    "AuthenticationServer": {
    "Url": "AUTH_SERVER_URL",
    "IsIgnoreCertErrors": false
    }
    Пример адреса сервера
    https://server.test.local/am/core/
    Важно!

    Если вы используете соединение по протоколу HTTPS, вам необходимо установить клиентский сертификат на каждый сервер Indeed AM.

    Чтобы ошибки сертификата сервера игнорировались, измените значение параметра IsIgnoreCertErrorsна значение true.

  3. Измените параметр Server. В строке Url укажите адрес для подключения к Indeed AM Log Server в формате http(s)://полное_dns_имя_сервера/ls/api.

    "Server": {
    "Url": "LOG_SERVER_URL"
    }
    Пример адреса сервера Indeed AM Log Server
    https://server.test.local/ls/api/
  4. Измените параметр LocalIdentityProviderConfiguration:

    • В строке SingleSignOnServiceUrl укажите адрес Identity Provider в формате http(s)://полное_dns_имя_сервера/am/idp/Account/SsoService.

      "LocalIdentityProviderConfiguration": {
      "Name": "urn:indeedid:saml_idp",
      "SingleSignOnServiceUrl": "IDENTITY_PROVIDER_URL/Account/SsoService"
      Пример адреса сервера SSO
      https://server.test.local/am/idp/Account/SsoService
    • В строке Thumbprint укажите отпечаток сертификата Identity Provider, который был сгенерирован при установке.

      "LocalIdentityProviderConfiguration": {
      "LocalCertificates": [
      {
      "Thumbprint": ""
      }
      ]
      }
      Информация

      Вы можете найти сертификат в хранилище Local Machine→Personal→Certificates (сертификат с именем idp), либо получить с помощью запроса PowerShell:

      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}
  5. В параметре AuthenticationMethods удалите ненужные строки и добавьте идентификаторы провайдеров, которые вы планируете использовать, в следующем формате:

    • В параметре Name укажите произвольное уникальное значение.
    • В параметре Providers укажите идентификатор используемого провайдера.
    Доступные идентификаторы для Identity Provider
    • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
    • Storage SMS OTP {3F2C1156-B5AF-4643-BFCB-9816012F3F34}
    • Email OTP {093F612B-727E-44E7-9C95-095F07CBB94B}
    • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
    • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} 
    • Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
    • HOTP Provider {AD3FBA95-AE99-4773-93A3-6530A29C7556}
    • TOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} 
    • Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} 
    • Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
    • Telegram Provider {CA4645CC-5896-485E-A6CA-011FCC20DF1D}
    Пример использования одного провайдера
        "AuthenticationMethods": [
    {
    "Name": "Passcode",
    "Providers": [
    "F696F05D-5466-42b4-BF52-21BEE1CB9529"
    ]
    }
    Пример использования нескольких провайдеров
        "AuthenticationMethods": [
    {
    "Name": "HOTP_Passcode",
    "Providers": [
    "AD3FBA95-AE99-4773-93A3-6530A29C7556",
    "F696F05D-5466-42b4-BF52-21BEE1CB9529"
    ]
    }
    Информация

    Если вы одновременно используете аутентификацию по Windows Password и по провайдеру, журнал событий отображает следующее:

    • Windows Password был введен верно,  провайдер неверно — в событиях пользователя регистрируется успешный вход в Identity Provider с помощью Windows Password. 
    • Windows Password был введен верно, провайдер верно — в событиях пользователя регистрируется успешный вход  с помощью провайдера.
  6. Сохраните конфигурационный файл и перезапустите сервер IIS.