1. Контур.Помощь
  2. Контур.SSO
  3. Инструкции для провайдеров
Инструкции для провайдеров
Настройка AD FS версии 3.0 Настройка AD FS версии 4.0 Настройка Keycloak

Настройка AD FS версии 4.0

Этап 1. Настройка AD FS

  1. Cоздайте группу (Application Group → Add Application Group).
  2. Укажите название группы (например, App) и выберите шаблон Web browser accessing a web application. Нажмите Next.

  3. В блоке Redirect URI добавьте разрешенные адреса для перенаправления:

    • https://auth-gateway.testkontur.ru/login/callback,

    • https://auth-gateway.kontur.ru/login/callback.

  4. Нажмите Next.

  5. Укажите настройки политики доступа и нажмите Next.

  6. Проверьте корректность заполненных данных и нажмите Next.

  7. Группа создана. Нажмите на нее правой кнопкой мыши и выберите Properties.

  8. В открывшемся окне выберите созданный WebAPI и нажмите на кнопку Edit.

  9. Выберите вкладку Issuance Transform Rules и нажмите на кнопку Add Rule.

  10. Выберите шаблон Send LDAP Attributes as Claim. Нажмите Next.

  11. Выберите атрибуты (claims), которые нужно передать в сервис:

    Наименования атрибутов указаны ниже в качестве примера. В вашей базе данных наименования могут отличаться от предложенных.

    Основные атрибуты:
    email — email;
    surname — family_name;
    firstname — given_name.

    Дополнительные атрибуты:
    post — title;
    phone — phone_number;
    picture — picture. Сервис установит аватар пользователя, только если в атрибуте picture передать ссылку на изображение. Передача самого файла не поддерживается.
     

    Как посмотреть список атрибутов пользователя

    Чтобы посмотреть список атрибутов, воспользуйтесь одним из способов:

    — В PowerShell выполните команду:
    Get-ADUser -Identity <SamAccountName> -Properties *

    — В интерфейсе AD FS перейдите в Active Directoty Users and Computers → View → Advanced Features → <domain> → EU → Users → <user> → правой кнопкой мыши нажмите на Properties → Attribute Editor.
    Если нужно посмотреть все атрибуты, выберите Filter и снимите галочку Show only attributes that have values. 

  12. Нажмите Finish.

  13. В окне Edit Claim Rules нажмите Ok для сохранения настроек.

Этап 2. Настройка браузеров

Если пользователи работают не в Internet Explorer — включите SSO в браузерах. Для этого:

  1. В PowerShell выполните команду: 
    [system.collections.arraylist]$UserAgents = Get-AdfsProperties | select -ExpandProperty WIASupportedUserAgents
$UserAgents.Add("Mozilla/5.0")
Set-ADFSProperties -WIASupportedUserAgents $UserAgents

  2. Перезапустите AD FS.

  3. Если пользователи работают в Mozilla Firefox, добавьте адрес вашего сервера в network.automatic-ntlm-auth.trusted-uris по инструкции.

Этап 3. Завершение настроек

Если используете облачную версию, для завершения настроек сообщите своему специалисту по внедрению следующие данные:

  • Название организации.
  • Адрес, по которому доступен ваш AD FS. Можно приложить файл конфигурации AD FS (например, /DeferationMetadata/2007-06/FederationMetadata.xml).

    Чтобы узнать адрес, в PowerShell выполните команду: 
    Get-AdfsProperties | select HostName | Format-List
    Нужно значение строки HostName.
  • Client_id. Чтобы его узнать, в PowerShell выполните команду: 
    Get-AdfsClient -Name "<MyADFSClient>"
    Нужно значение строки ClientId.
  • Relying party trust identifier, если указан. Чтобы его узнать, в PowerShell выполните команду: 
    Get-AdfsWebApiApplication | select Identifier | Format-List
    Нужно значение строки Identifier.
  • Дискавери-документ, если есть возможность его предоставить (например, .well-known/openid-configuration/).
База знаний