Настройка соединения KUMA с Active Directory Federation Services

Чтобы настроить доменную аутентификацию в KUMA и обеспечить для пользователей возможность входа в KUMA под учетной записью без указания логина и пароля, необходимо предварительно создать группу подключения и настроить правила на стороне ADFS или убедиться, что необходимые группы подключения и правила уже существуют.

После настройки на странице входа в KUMA появится кнопка Вход через ADFS.

Кнопка Вход через ADFS будет скрыта на странице входа в KUMA при следующих условиях:

• Если в раскрывающемся списке Тип аутентификации выбран пункт FreeIPA.
• Если в раскрывающемся списке Тип аутентификации выбран пункт AD/ADFS и настройки для ADFS отсутствуют или установлен флажок Выключено для настроек ADFS.

Вы можете подключиться только к одному домену ADFS. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена ADFS:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
3. В блоке параметров Active Directory Federation Services в поле Идентификатор клиента укажите идентификатор KUMA из поля Client ID в ADFS.
4. В поле Идентификатор доверенной стороны укажите идентификатор KUMA из поля Relying party identifiers в ADFS.
5. Укажите URI для получения метаданных Connect из поля Connect Metadata URI. Параметр состоит из хоста, на котором расположен ADFS (https://adfs.example.com), и настройки endpoint (/adfs/.well-known/openid-configuration).

   Например, https://adfs.example.com/adfs/.well-known/openid-configuration).

6. Укажите URL для перенаправления из ADFS из поля Redirect URL в ADFS. Значение поля Redirect URL в ADFS указывается при настройке Application group. В ADFS необходимо указать FQDN KUMA и подстроку </sso-callback>. В KUMA URL необходимо указать без подстроки, например, https://kuma-example:7220
7. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory Federation Services, в которой состоит пользователь. Для Главного администратора дополнительные роли активированы в KUMA автоматически, поэтому их не нужно добавлять отдельно.

   В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительными правами, если дополнительные роли были назначены.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

8. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory Federation Services будет настроено.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В блоке параметров Группы администрирования нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию. Тенант Shared отображается в раскрывающемся списке, но для него нельзя назначить роль, потому что единственная роль в тенанте Shared - это дополнительная роль Доступ к общим ресурсам, а дополнительные роли в доменной аутентификации не участвуют.
4. В раскрывающемся списке Выбранные роли укажите роли для пользователя. Можно выбрать несколько ролей. Доступны следующие значения:
   • Администратор тенанта.
   • Аналитик второго уровня.
   • Аналитик первого уровня.
   • Младший аналитик.

   После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Для каждого тенанта можно задать отдельный набор фильтров для ролей.

   Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.

   После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.

   Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями Младший аналитик, Аналитик первого уровня, Аналитик второго уровня или Администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Настройка подключения на стороне Active Directory Federation Services

В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).

На сервере должна быть уже настроена роль ADFS.

Создание новой группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.

2. В открывшемся окне Add Application Group Wizard в разделе Welcome в поле Name укажите имя новой группы подключения. Пример: new-application-group.

   В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.

   Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.

3. В открывшемся разделе Native application поля Name и

    Client Identifier

    заполняются автоматически.

   Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.

   В поле

    

   Redirect URI введите URI для перенаправления из ADFS с обязательным указанием подстроки /sso-callback и нажмите Add. Пример: https://adfs.example.com:7220/sso-callback

   Чтобы перейти к следующему этапу настройки, нажмите Next.

4. В открывшемся разделе Configure Web API в поле Identifiers добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demo

   Значение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

5. В открывшемся разделе Apply Access Control Policy выберите значение политики Permit everyone.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

6. В открывшемся разделе Configure Application Permissions поле Client application заполняется автоматически.

   В поле Permitted scopes установите флажок для опций allatclaims и openid.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

7. В открывшемся разделе Summary проверьте настройки.

   Если настройки верны и вы готовы добавить группу, нажмите Next.

Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.

Добавление правил для группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.

2. В окне Application groups в разделе Actions нажмите Properties.

   В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.

   В открывшемся окне new-application-group - Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule.

   В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

3. В разделе Configure Claim Rule в поле Claim rule name укажите имя правила. Пример: rule-name-01.

   В раскрывающемся списке Attribute store выберите Active directory.

   В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:

   LDAP Attribute	Outgoing Claim Type
   User-Principal-Name	userPrincipalName
   Display-Name	displayName
   E-Mail-Addresses	mail
   Is-Member-Of-DL	MemberOf

   Чтобы завершить настройку, нажмите Finish.

4. Вернитесь к окну new-application-group – Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.

   Чтобы продолжить настройку, нажмите Next.

5. В разделе Configure Claim Rule в поле Claims rule name укажите имя правила. Пример: rule-name-02.

   В поле Custom rule укажите следующие параметры: 

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);

   Чтобы завершить настройку, нажмите Finish.

6. Система выполнит переход к окну new-application-group – Web API Properties и вкладке Issuance Transform Rules.

   Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.

Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.

Устранение ошибки Access denied

При попытке входа в KUMA через ADFS может появляться всплывающее сообщение Access denied или Недостаточно прав. В журнале ядра KUMA будет отображаться ошибка Data source certificate has been changed.

Эта ошибка свидетельствует о том, что изменился сертификат ADFS. Чтобы исправить ошибку и возобновить доменную аутентификацию, следует в настройках соединения с контроллером домена нажать на кнопку Сбросить сертификат. Новый сертификат будет сформирован автоматически.