Центр помощи / Администратор / Синхронизация пользователей с Directory / Настройка ADFS для разрешения авторизации из UnSpot

Настройка ADFS для разрешения авторизации из UnSpot

Важно: Данная статья входит в группу статей по интеграции ADFS в UnSpot. Для интеграции и использования ADFS необходимо поочередно ознакомиться со всеми статьями в следующем порядке:
1. Настройка ADFS для разрешения авторизации из UnSpot (вы здесь).
2. Настройка UnSpot для подключения к ADFS.
3. Вход пользователя через ADFS SSO.
Проверьте не пропустили ли вы статью. Если вы не настроили ADFS по одной из статей, вы не сможете настроить последующие.

В статье описано, как настроить Single Sign-On авторизацию через локальный (on-premise) Active Directory Federation Service. Эта настройка позволит вам авторизоваться в UnSpot через ADFS.

Настройка AD Federation Service

Cоздадим в AD приложение для разрешения авторизации UnSpot через Federation Service.
1. Выберите папку “Application Groups“ и в окне справа нажмите “Add Application Group…“.

2. Введите имя группы и в “Template“ выберите “Web browser accessing a web application“, так как подключаться мы будем к вебсайту.

3. В поле “Client Identifier” введите токен, сгенерированный для вас ADFS при настройке клиента (формат: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).
В поле “Redirect URI“ вставьте url на UnSpot: https://auth.unspot.ru/api/oauth2/verify и нажмите “Add“, чтобы введенный url добавился в поле ниже.

4. Для того, чтобы любой пользователь смог авторизоваться через ADFS в “Сontrol Policy”, выберите “Разрешение для каждого“.

5. После изменений раздел “Summary” должен выглядеть так:

6. Вы успешно создали приложение AD для авторизации с UnSpot.

Следующим шагом нужно создать правило для определения информации, которая будет содержаться в токене:
1. Для этого требуется перейти в “Properties” у нашего приложения.

2. В списке “Applications“ выберите “Unspot – Web application“ и нажмите “Edit“.

3. Проверим, разрешены ли запросы через openID в “Client Permissions”.

4. Перейдем к добавлению правила в “Issuance Transform Rules“.

5. Настроим правило:

a) Введите имя правила, к примеру, “Unspot Rule”.
b) Хранилище атрибутов должно быть “Active Directory“.
c) Обозначим атрибуты LDAP: поочередно выберем “LPAD Attribute“ (переменная) и “Outgoing Claim Type“ (значение которое будем присваивать) из выпадающего списка. Это необходимо для того, чтобы UnSpot правильно принимал значения из вашего ADFS.

Важно: Полный список пар LPAD Attribute и Outgoing Claim Type:
1. User-Principal-Name и email
2. Given-Name и first_name
3. Surname и last_name
4. Display-Name и display_name

Примечание: Чтобы пользователь был создан через ADFS обязательно должен присутствовать email. При отсутствии имени и/или фамилии пустые поля будут заполнены информацией из email.

Важно: Вы закончили начальную настройку ADFS. Для успешной интеграции и использования ADFS вам осталось поочередно ознакомиться со следующими статьями в порядке:
1. Настройка UnSpot для подключения к ADFS.
2. Вход пользователя через ADFS SSO.

Получить список всех функций UnSpot Укажите свой адрес электронной почты и мы скинем вам таблицу с возможностями UnSpot
Получить таблицу
Вы соглашаетесь с политикой конфиденциальности

Оставьте заявку на звонок, и мы свяжемся с вами в течение 30 минут

Рабочее время:
Понедельник – Пятница, 9:00‑19:00

Загрузка