Подключаем AD FS как провайдер SSO

Обновлено 14 июня 2024

SaluteJazz позволяет подключать авторизацию по протоколу SSO с использованием AD FS в качестве провайдера авторизации.

AD FS должен быть доступен по протоколу HTTPS с использованием доверенного сертификата или сертификата Минцифры. Самоподписанные сертификаты не поддерживаются системой.

Плагин SaluteJazz для Outlook не поддерживает вход с помощью SSO.

Подготовка

• Убедитесь, что используете облачную версию SaluteJazz.
• Если используется неактуальная версия AD FS, уточните у сотрудника службы внедрения ее совместимость с SaluteJazz.
• Запросите у сотрудника службы внедрения значение Redirect URL.
• Скопируйте идентификатор вашего проекта из личного кабинета Studio.

Добавление серверной группы приложений

1. Откройте AD FS.
2. Нажмите правой кнопкой мыши на директорию Application Groups и выберите в контекстном меню Add Application Group.
3. В окне создания серверной группы приложений укажите тип группы приложений как Server application.
4. Нажмите Далее.
5. Введите данные серверного приложения:
   • в поле Name введите название приложения;
   • в поле Redirect URL введите Redirect URL, который вам предоставила команда внедрения, и нажмите Add.
6. Скопируйте и сохраните содержимое поля Client Identifier.
7. Нажмите Далее.
8. Поставьте флажок Generate a shared secret в открывшейся секции.
9. Скопируйте секрет и поля Secret и сохраните его. После подтверждения настроек серверного приложения вы не сможете просматривать секрет.
10. Нажмите Далее.
11. Подтвердите конфигурацию.

Вам нужно передать сотруднику внедрения на стороне SaluteJazz следующие данные:

• Client Identifier;

• Secret;

• Идентификатор вашего проекта из личного кабинета Studio;

• .well-known endpoint — путь, указанный в переменной в директории AD FS/Service/Endpoints в разделе OpenID Connect.

  

Добавление Web API

1. Перейдите к созданной группе в раздел Application Groups и дважды нажмите на него мышью.
2. Нажмите Add Application... в открывшемся окне.
3. Выберите Web API в разделе Template.
4. Нажмите Далее.
5. Скопируйте Client Identifier, который вы использовали для создания серверной группы приложений, в поле Client Identifier и нажмите Add.
6. Нажмите Далее.
7. В открывшемся разделе выберите из списка политику контроля доступа Permit everyone.
8. Нажмите Далее.
9. Поставьте флажки allatclaims, email, openid (активирован по умолчанию) и profile в разделе Permitted scopes.
10. Нажмите Далее.
11. Подтвердите конфигурацию.

Маппинг данных

1. Перейдите к созданной группе в раздел Application Groups и дважды нажмите на него мышью.
2. Дважды нажмите мышью на Web API в разделе Applications.
3. В открывшемся окне перейдите на вкладку Issuance Transform Rules.
4. Нажмите Add Rule....
5. В разделе Claim rule template выберите из списка шаблон Send LDAP Attributes as claims.
6. Нажмите Далее.
7. Настройте следующую конфигурацию:

   • Claim rule name — произвольное название;

   • Attribute store — Active Directory;

   • Mappings:

     • E-Mail Addresses — email;
     • Given-Name — given_name;
     • Surname — family_name.

     Параметры слева выбираются из выпадающего списка. Параметры справа необходимо ввести вручную.