Общие сведения
Avanpost FAM реализует функциональность аутентификации при помощи другого экземпляра Avanpost FAM, Avanpost MFA+ либо любого другого Identity Provider с поддержкой функциональности SAML Federation.
Использование SAML-сервера в качестве источника пользователей предназначено для решения следующих задач:
- Первичная загрузка/импорт пользователей из домена в Avanpost FAM.
- Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене.
- Автоматическое обновление атрибутов пользователей при обновлении на стороне SAML-сервера.
- Аутентификация с проверкой пароля на стороне SAML-сервера.
- Добавление пользователей в ту или иную групп с предварительно настроенным сценарием аутентификации посредством Avanpost FAM.
- Аутентификация с проверкой фактора аутентификации во внешнем источнике.
- Создание, удаление и управление подключениями Avanpost FAM Server к SAML-источникам идентификации.
- Включение и выключение интеграции с тем или иным SAML-провайдеров.
Управление SAML-провайдерами осуществляется во вкладке "Настройки SAML-провайдеров" режима "Сервис". Вкладка содержит:
- Список настроенных SAML-провайдеров с названиями.
- Кнопка "Добавить" - Требуется нажать для добавления нового SAML-провайдера.
В Avanpost FAM Server версии 1.13.0 и выше поддерживается единый механизм создания и настройки внешних провайдеров идентификации (включая SAML-источники). Более подробно описано в статье Управление внешними провайдерами идентификации (IdP).
Добавление SAML-провайдера
Для добавления нового SAML-провайдера необходимо нажать кнопку "Добавить" во вкладке "Настройки SAML-провайдеров" и последовательно заполнить следующие данные:
Наименование параметра | Описание параметра | Обязательность |
---|---|---|
Имя | Наименование SAML-провайдера. | Да |
Issuer | Уникальный идентификатор приложения (Issuer в соответствии со спецификацией SAML 2.0). | Да |
Audience URI | Уникальный идентификатор, использующийся для идентификации конкретного объекта в протоколе аутентификации и авторизации SAML. Параметр содержит набор (аудиторию) субъектов, которым разрешено использовать Assertion, сгенерированное данным IdP. Данный параметр позволяет предотвратить использование Assertion SAML неавторизованными субъектами. | Нет |
HTTP Binding | Формат привязки, в котором передаются данные между SP (Service Provider) и IdP (Identity Provider) Выбрать в выпадающем списке из вариантов:
| Да |
Metadata URL | URL-адрес, на котором содержится информация о текущих настройках SAML-сервера в виде xml-файла. Рекомендуется заполнить данный параметр для упрощения и автоматизации настройки SAML-провайдера. | Нет |
Подписывать запрос аутентификации | Чекбокс "Подписывать запрос аутентификации":
| Да |
Пропустить проверку подписи | Чекбокс "Пропустить проверку подписи":
| Да |
Entity ID | Уникальный идентификатор, использующийся для идентификации конкретного объекта в протоколе аутентификации и авторизации SAML (обычно используется URL или URI, назначенный объекту и используемый в сообщениях и метаданных SAML). | Да |
SSO URL | URL-адрес, на который перенаправляется при использовании механизма единого входа в приложения (SSO). | Да |
Ключи | Ввести ключ сертификата, который используется для обеспечения безопасности и подлинности обмена данных между IdP (Identity Provider) и SP (Service Provider). При вводе требуется выбрать тип ключа из выпадающего списка:
| Нет |
Тип атрибута привязки | Тип атрибута, ассоциирующего пользователя Avanpost FAM с пользователем, загружаемым из SAML-провайдера. Выбрать тип из выпадающего списка:
| Да |
Атрибут привязки | Наименование атрибута на стороне SAML-провайдера, ассоциирующего пользователя Avanpost FAM с пользователем, загружаемым из SAML-провайдера. | Нет |
Имя пользователя из | Наименование атрибута на стороне SAML-провайдера, из которого берется логин (username) пользователя. | Да |
Фамилия из | Наименование атрибута на стороне SAML-провайдера, из которого берется фамилия пользователя. | Да |
Имя из | Наименование атрибута на стороне SAML-провайдера, из которого берется имя пользователя. | Да |
Отчество из | Наименование атрибута на стороне SAML-провайдера, из которого берется отчество пользователя. | Нет |
E-mail из | Наименование атрибута на стороне SAML-провайдера, из которого берется электронная почта пользователя. | Да |
Телефон из | Наименование атрибута на стороне SAML-провайдера, из которого берется телефон пользователя. | Нет |
Группа по умолчанию | Группы, в которые по умолчанию добавляются пользователи, загружаемые с LDAP-провайдера. В текстовое поле требуется ввести существующие в Avanpost FAM группы. | Нет |
Чтобы сохранить настроенный SAML-провайдер, следует нажать "Сохранить". Для отказа от вносимых изменений требуется нажать "Отмена".
Настройка существующего SAML-провайдера
Настройка добавленных SAML-провайдеров осуществляется в профиле SAML-провайдера. В процессе настройки доступны параметры, задаваемые на этапе добавления SAML-провайдера. Переход в профиль осуществляется нажатием на название провайдера во вкладке "Настройки SAML-провайдеров" режима "Сервис". В профиле представлены следующие возможности:
- изменить настройки - для редактирования параметров следует нажать и перенастроить в соответствии с таблицей;
- удалить (кнопка) - удаление (после подтверждения) существующего SAML-провайдера.
Чтобы сохранить изменения в SAML-провайдере, следует нажать "Сохранить". Для отказа от вносимых изменений требуется нажать "Отмена".