Для работы аутентификации по протоколу OpenID Connect 1.0 на сервере ADFS 2016 и выше настройте:

•проверяющую сторону

•правила утверждений

Настройка проверяющей стороны (Relying Party)

1.В диспетчере серверов в выпадающем списке Средства выберите пункт Управление AD FS. Откроется консоль управления.

Перейдите в узел Группы приложений и в контекстном меню нажмите на кнопку Добавить группу приложений.... Откроется окно «Мастер добавления группы приложений».

2.В окне «Приветствие» в поле Имя введите имя группы приложений, например, sa1.

ВАЖНО. В разделе для параметров указаны примеры значений: sa1, b1, с1 и др. Для упрощения настройки рекомендуется задавать именно эти значения, так как в дальнейшем они используются при настройке конфигурационного файла config.yml.

3.В области «Шаблон:» выберите пункт Серверное приложение, подключающееся к веб-API и нажмите на кнопку Далее>.

4.В окне «Приложение сервера» заполните поле Идентификатор клиента. Пример значения: c1.

В поле Перенаправить URI введите путь до страницы перенаправления веб-клиента Directum RX. Поддерживается только протокол HTTPS. Пример значения: https://rxserver/Client/b1, где:

•https://rxserver/Client – адрес веб-клиента Directum RX.

Важно. В адресе значение Client должно совпадать со значением в параметре WEB_HOST_PATH_BASE. По умолчанию при установке системы в параметре указывается значение Client. Также необходимо учитывать регистр символов.

•/b1 – часть пути до веб-клиента, на который будет перенаправлен пользователь после попытки аутентификации.

Нажмите на кнопку Добавить, затем на кнопку Далее>.

5.В окне «Настроить учетные данные приложения» установите флажок Создать общий секрет. В результате автоматически сгенерируется секрет, например quuAL6dcvo1KKyr5pgwhqTnsRKaY9OH88h1iNnoJ. После создания группы приложений нельзя посмотреть секрет, поэтому по кнопке Копировать в буфер обмена скопируйте его в какой-либо файл. Затем нажмите на кнопку Далее>.

6.В окне «Настройка веб-интерфейса API» в поле Имя оставьте автоматически сформированное значение sa1 - Web API без изменений. В поле Идентификатор – веб-интерфейс API укажите значение с1. Оно должно совпадать со значением в поле Идентификатор клиента, указанном ранее. После этого нажмите на кнопку Добавить и затем нажмите на кнопку Далее>.

7.В окне «Выбрать политику управления доступом» укажите значение Разрешение для каждого. Затем нажмите на кнопку Далее>.

8.В окне «Настроить разрешения для приложений» убедитесь, что установлены флажки openid и allatclaims, затем нажмите на кнопку Далее>.

9.В окнах «Сводка» и «Готово» заполнять значения не нужно. В конце нажмите на кнопку Закрыть.

Настройка правил утверждений

Правила утверждения (claims) нужны для автоматического входа пользователя в веб-клиент Directum RX. В настройках необходимо указать, что ADFS будет передавать в веб-клиент правила Windows account name (Имя учетной записи Windows) и Primary SID (Основной SID).

Чтобы настроить передачу правила Windows account name:

1.В окне утилиты «Управление AD FS» перейдите в узел Группы приложений.

2.В списке выберите группу приложений, которую ранее создали, и откройте ее.

3.В открывшемся окне выберите значение sa1-Web API и нажмите на кнопку Изменить.

4.В открывшемся окне выберите вкладку «Правила преобразования выдачи» и нажмите на кнопку Добавить правило…. Откроется окно «Мастер добавления правила преобразования утверждения».

5.В окне «Выберите тип правила» в выпадающем списке Шаблоны правила утверждения: выберите пункт Проход через входящее утверждение или его фильтрация и нажмите на кнопку Далее>.

6.В окне «Настройте правило утверждения»:

•в поле Имя правила утверждения: введите значение, например, WIN_ACC_NAME.

•в выпадающем списке Тип входящего утверждения: выберите пункт Имя учетной записи Windows.

7.Нажмите на кнопку Готово.

Чтобы настроить передачу правила Primary SID:

1.Повторите те же действия, что и для Имя учетной записи Windows, только в окне «Настройте правило утверждения»:

•в поле Имя правила утверждения: введите значение, например, P_SID;

•в выпадающем списке Тип входящего утверждения: выберите пункт Основной SID.

2.Нажмите на кнопку Готово.

© Компания Directum, 2024