Для работы OAuth-аутентификации на сервере ADFS 2016 или 2019 настройте:

•проверяющую сторону

•правила утверждений

Настройка проверяющей стороны (Relying Party)

1.В диспетчере серверов в выпадающем списке Средства выберите пункт Управление AD FS. Откроется консоль управления.

Перейдите в узел Группы приложений и в контекстном меню нажмите на кнопку Добавить группу приложений.... Откроется окно «Мастер добавления группы приложений».

2.В окне «Приветствие» в поле Имя введите имя группы приложений, например, sa1.

ВАЖНО. В разделе для параметров указаны примеры значений: sa1, b1, с1 и др. Для упрощения настройки рекомендуется задавать именно эти значения, так как в дальнейшем они используются при настройке конфигурационного файла config.yml.

Затем в области «Шаблон:» выберите пункт Серверное приложение, подключающееся к веб-API и нажмите на кнопку Далее>.

3.В окне «Приложение сервера» заполните поле Идентификатор клиента. Пример значения: c1.

В поле Перенаправить URI введите путь до страницы перенаправления веб-клиента Directum RX. Пример значения: https://rxserver/client/b1, где:

https://rxserver/client – адрес веб-клиента Directum RX;

/b1 – часть пути до веб-клиента, на который будет перенаправлен пользователь после попытки аутентификации.

Нажмите на кнопку Добавить, затем на кнопку Далее>.

4.В окне «Настроить учетные данные приложения» установите флажок Создать общий секрет. В результате автоматически сгенерируется секрет, например: quuAL6dcvo1KKyr5pgwhqTnsRKaY9OH88h1iNnoJ. После создания группы приложений нельзя посмотреть секрет, поэтому по кнопке Копировать в буфер обмена скопируйте его в какой-либо файл. Затем нажмите на кнопку Далее>.

5.В окне «Настройка веб-интерфейса API» в поле Имя оставьте автоматически сформированное значение sa1 - Web API без изменений. В поле Идентификатор – веб-интерфейс API укажите значение, например, r1, после этого нажмите на кнопку Добавить. Затем нажмите на кнопку Далее>.

6.В окне «Выбрать политику управления доступом» укажите значение Разрешение для каждого. Затем нажмите на кнопку Далее>.

7.В окнах «Настроить разрешения для приложений», «Сводка», «Готово» заполнять значения не нужно. В конце нажмите на кнопку Закрыть.

Настройка правил утверждений

Правила утверждения (claims) нужны для автоматического входа пользователя в веб-клиент Directum RX. В настройках необходимо указать, что ADFS будет передавать в веб-клиент правила Windows account name (Имя учетной записи Windows) и Primary SID (Основной SID).

Чтобы настроить передачу правила Windows account name:

1.В окне утилиты «Управление AD FS» перейдите в узел Группы приложений.

2.В списке выберите группу приложений, которую ранее создали, и откройте ее.

3.В открывшемся окне выберите значение sa1-Web API и нажмите на кнопку Изменить.

4.В открывшемся окне выберите вкладку «Правила преобразования выдачи» и нажмите на кнопку Добавить правило…. Откроется окно «Мастер добавления правила преобразования утверждения».

5.В окне «Выберите тип правила» в выпадающем списке Шаблоны правила утверждения: выберите пункт Проход через входящее утверждение или его фильтрация и нажмите на кнопку Далее>.

6.В окне «Настройте правило утверждения»:

•в поле Имя правила утверждения: введите значение, например, WIN_ACC_NAME.

•в выпадающем списке Тип входящего утверждения: выберите пункт Имя учетной записи Windows.

7.Нажмите на кнопку Готово.

Чтобы настроить передачу правила Primary SID:

1.Повторите те же действия, что и для Имя учетной записи Windows, только в окне «Настройте правило утверждения»:

•в поле Имя правила утверждения: введите значение, например, P_SID;

•в выпадающем списке Тип входящего утверждения: выберите пункт Основной SID.

2.Нажмите на кнопку Готово.

© Компания Directum, 2024