1. Доступ
  2. Серверная версия
Серверная версия
О серверной версии Доступа Технические требования Установка сервера Настройка AD FS аутентификации Настройка OpenId Connect аутентификации SSL‑сертификат домена Техническая поддержка

Настройка AD FS аутентификации

Инструкция по установке сервера Контур.Доступа.

Методы для работы по протоколу OAuth 2.0

AD FS должен иметь включенные и настроенные методы для работы по протоколу OAuth 2.0:

  • /FederationMetadata/2007-06/FederationMetadata.xml
  • /adfs/oauth2/

Посмотреть список включенных методов можно с помощью команды:

Get-AdfsEndpoint | Where-Object { $_.Protocol -like"Oauth*" } | Format-Table.

Настройка приложения в AD FS

Инструкции:

Пояснения к инструкциям:

  • relying party trust identifier можно указать как "auth-dostup.example.com".
  • На этапе настройки клеймов можно оставить клеймы: «E-Mail-Addresses», «Given-Name» и «Surname».
  • RedirectUri должен иметь вид "https://{auth-gateway}/login/callback",
    где: {auth-gateway} — домен, на котором шлюз аутентификации опубликован в вашей сети (public origin).
    Пример https://auth-dostup.example.com/login/callback.

Данные для настройки сервера Контур.Доступа

Данные нужны для конфигурации инсталлятора (/config/config.json), раздела «OpenIdConnect» → «Provider».

  • Id — идентификатор провайдера.
    Например, "example".
  • AuthorizeUrl — ссылка на аутентификацию в AD FS.
    Например, "https://adfs.example.ru/oauth2/authorize".
  • TokenUrl — ссылка на получение токена в AD FS.
    Например, "https://adfs.example.ru/oauth2/token".
  • ClientId — идентификатор клиента, который вы настроили в AD FS.
  • ClientSecret — секрет клиента, который вы настроили в AD FS.
  • Scopes — не используется, нужно убрать из конфигурации.
  • UserInfoUrl — не используется, нужно убрать из конфигурации.
  • AllowedClaims — клеймы, которые шлюз будет запрашивать у AD FS. Укажите те, которые настроены в клиенте на стороне AD FS.
  • InteractionSchema — должно быть "adfs".
  • CustomParameters — содержит два значения, разделенные ;
    • adfs_meta_url — полный URL документа /FederationMetadata/2007-06/FederationMetadata.xml на вашем AD FS.
      Например, https://adfs.example.ru/FederationMetadata/2007-06/FederationMetadata.xml.
    • sub_claim — название клейма, по которому учетная запись однозначно идентифицируется в AD FS.
      Например, sub_claim=sid.

Пример значения целиком:

"adfs_meta_url=adfs.example.ru/FederationMetadata/2007-06/FederationMetadata.xml;sub_claim=sid"
  • CustomAuthorizeParameters — "resource={relying party trust identifier}", который был настроен в клиенте.
    Например, "resource=auth-dostup.example.com".
  • ResponseType — не используется, нужно убрать из конфигурации.

Если при настройке аутентификации возникла ошибка, сообщите о ней в службу технической поддержки любым способом.

dostup

Удаленный доступ к компьютеру, новые возможности

Сервис постоянно совершенствуется, попробуйте его возможности в течение 4 дней.

Попробовать бесплатно

База знаний