tocdepth

2

Настройка SAML федерации c доменом Active Directory

С помощью SAML федерации вы можете использовать Active Directory Federation Service (AD FS) для аутентификации пользователей в Cloud.ru.

Перед началом работы

Для настройки доступа к облаку с помощью корпоративных доменных учетных записей необходимы:

• Развернутый сервис AD FS. Как развернуть и опубликовать сервис AD FS описано в инструкциях Microsoft:

  • Установка AD FS Role Service

  • Настройка сервера федерации

  • Регистрация SSL-сертификата для AD FS

  Примечание

  При развертывании и публикации сервиса в интернет необходимо убедиться, что используется правильный публичный SSL-сертификат.

• Опубликованный в интернет сервер AD FS.

  Инструкция по развертыванию Web Application Proxy и публикации через него сервера AD FS доступна на официальном сайте Microsoft.

  Примечание

  Рекомендации по обеспечению безопасности Active Directory Federation Service

Получить метаданные

Для настройки SAML федерации получите XML-файл с метаданными.

1. Откройте оснастку AD FS Management на сервере с ролью AD FS.

2. Перейдите в раздел AD FS → Service → Endpoints.

3. Найдите URL-путь в разделе Metadata.

   Обычно путь имеет вид: /FederationMetadata/2007-06/FederationMetadata.xml.

   

4. Скачайте XML-файл.

   Для этого введите URL-aдрес вида https://<ваше имя хоста>/FederationMetadata/2007-06/FederationMetadata.xml в браузере и загрузите файл на компьютер.

Создать федерацию в личном кабинете

1. В личном кабинете Cloud.ru перейдите в раздел Администрирование, на вкладку Федерации.

2. Нажмите Создать федерацию.

3. Выберите тип протокола — SAML.

4. Загрузите ранее скачанный XML-файл с метаданными.

   

   На основе загруженного файла с метаданными будет создан черновик конфигурации федерации.

5. Заполните название и описание федерации.

6. Задайте длительность сессии — максимальное время жизни SSO сессии.

   Может быть установлено значение от 30 минут до 7 дней.

   Если пользователь не проявляет активности в течение заданного в параметре времени, сессия завершится, а пользователь должен будет заново пройти аутентификацию.

   Если пользователь активен, время сессии зависит от того, поддерживает ли настроенная федерация механизм refresh-токенов:

   • Если механизм refresh-токенов не поддерживается, то сессия будет завершена через время, указанное в параметре «Длительность сессии».

   • Если механизм refresh-токенов поддерживается, то при истечении access-токена приложение может использовать refresh-токен для получения нового access-токена. Так сессия пользователя может быть активна, пока не истечет время жизни refresh-токена — 7 дней.

7. Загрузите действующий сертификат с типом Signing.

   Если сертификат уже был в загруженном XML-файле, его данные добавятся на форму автоматически.

   Вы можете загрузить несколько сертификатов — текущий и те, которые будут действовать после него. Это позволит избежать прерывания работы федерации, когда сертификат истечет.

8. Нажмите Создать.

9. Скачайте предложенный файл дескриптора, в котором собраны данные для настройки со стороны AD FS.

Импортировать XML-файл

1. Откройте скачанный ранее файл и скопируйте ссылку из адресной строки браузера.

2. Откройте оснастку AD FS Management и выберите Отношения доверия проверяющей стороны → Добавить отношение доверия.

   

3. Выберите способ «Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети».

   

4. Введите отображаемое имя федерации со стороны AD FS или оставьте значение по умолчанию.

5. Выберите политику доступа «Разрешение для каждого».

6. Проверьте данные и нажмите Готово.

Настроить клеймы для преобразования данных

1. Выделите созданное утверждение и нажмите Измените политику подачи запросов.

   

2. Настройте сопоставление между атрибутами SAML-сообщения и персональными данными пользователя, которые хранятся на сервере AD FS.

   Данные пользователя	Обязательность	Элементы SAML-сообщения
   Фамилия	Нет	Surname
   Имя	Нет	Given-Name
   Адрес электронной почты	Да	User-Principal-Name

   

3. Нажмите Готово.

Добавить федеративных пользователей

1. В разделе Пользователи откройте вкладку Федеративные пользователи.

2. В правом верхнем углу нажмите Добавить пользователя федерации.

3. Выберите федерацию, в которую нужно включить пользователя.

4. Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.

5. Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли пользователей Cloud.ru.

6. Нажмите Добавить.

   Профиль пользователя появится на вкладке Федеративные пользователи.

   Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.

7. Перейдите в раздел Администрирование, на вкладку Федерации.

8. Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.

Примечание

Прямая ссылка для входа по SSO — https://console.cloud.ru/?iam_idp=%ID_федерации%. ID вашей федерации можно получить у администратора организации.

Обратите внимание, что если по ссылке перейдет сотрудник, у которого нет учетной записи в личном кабинете, учетная запись для него будет создана автоматически. Она отобразится в списке федеративных пользователей в разделе Пользователи. У такого пользователя не будет прав для доступа к проектам, пока их не назначит администратор организации.

Была ли статья полезной?

Да Нет

Предыдущая

Настройка SAML федерации

Следующая

Изменить параметры федерации

Запустили Evolution free tier
для Dev & Test

Получить