Настройка подключения на стороне Active Directory Federation Services

В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).

На сервере должна быть уже настроена роль ADFS.

Создание новой группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.

2. В открывшемся окне Add Application Group Wizard в разделе Welcome в поле Name укажите имя новой группы подключения. Пример: new-application-group.

   В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.

   Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.

3. В открывшемся разделе Native application поля Name и

    Client Identifier

    заполняются автоматически.

   Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.

   В поле

    

   Redirect URI введите URI для перенаправления из ADFS с обязательным указанием подстроки /sso-callback и нажмите Add. Пример: https://adfs.example.com:7220/sso-callback

   Чтобы перейти к следующему этапу настройки, нажмите Next.

4. В открывшемся разделе Configure Web API в поле

   Identifiers

   добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demo

   Значение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

5. В открывшемся разделе Apply Access Control Policy выберите значение политики Permit everyone.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

6. В открывшемся разделе Configure Application Permissions поле Client application заполняется автоматически.

   В поле Permitted scopes установите флажок для опций allatclaims и openid.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

7. В открывшемся разделе Summary проверьте настройки.

   Если настройки верны и вы готовы добавить группу, нажмите Next.

Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.

Добавление правил для группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.

2. В окне Application groups в разделе Actions нажмите Properties.

   В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.

   В открывшемся окне new-application-group - Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule.

   В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

3. В разделе Configure Claim Rule в поле Claim rule name укажите имя правила. Пример: rule-name-01.

   В раскрывающемся списке Attribute store выберите Active directory.

   В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:

   LDAP Attribute	Outgoing Claim Type
   User-Principal-Name	userPrincipalName
   Display-Name	displayName
   E-Mail-Addresses	mail
   Is-Member-Of-DL	MemberOf

   Чтобы завершить настройку, нажмите Finish.

4. Вернитесь к окну new-application-group – Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.

   Чтобы продолжить настройку, нажмите Next.

5. В разделе Configure Claim Rule в поле Claims rule name укажите имя правила. Пример: rule-name-02.

   В поле Custom rule укажите следующие параметры: 

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);

   Чтобы завершить настройку, нажмите Finish.

6. Система выполнит переход к окну new-application-group – Web API Properties и вкладке Issuance Transform Rules.

   Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.

Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.