Avanpost FAM/MFA+ : 5.5.3. Управление SAML-источниками

Общие сведения

Avanpost FAM реализует функциональность аутентификации при помощи другого экземпляра Avanpost FAM, Avanpost MFA+ либо любого другого Identity Provider с поддержкой функциональности SAML Federation.

Использование SAML-сервера в качестве источника пользователей предназначено для решения следующих задач:

  • Первичная загрузка/импорт пользователей из домена в Avanpost FAM.
  • Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене. 
  • Автоматическое обновление атрибутов пользователей при обновлении на стороне SAML-сервера.
  • Аутентификация с проверкой пароля на стороне SAML-сервера.
  • Добавление пользователей в ту или иную групп с предварительно настроенным сценарием аутентификации посредством Avanpost FAM. 
  • Аутентификация с проверкой фактора аутентификации во внешнем источнике.
  • Создание, удаление и управление подключениями Avanpost FAM Server к SAML-источникам идентификации.
  • Включение и выключение интеграции с тем или иным SAML-провайдеров.

Управление SAML-провайдерами осуществляется во вкладке "Настройки SAML-провайдеров" режима "Сервис". Вкладка содержит:

  • Список настроенных SAML-провайдеров с названиями.
  • Кнопка "Добавить" - Требуется нажать для добавления нового SAML-провайдера.

В Avanpost FAM Server версии 1.13.0 и выше поддерживается единый механизм создания и настройки внешних провайдеров идентификации (включая SAML-источники). Более подробно описано в статье Управление внешними провайдерами идентификации (IdP).

Добавление SAML-провайдера

Для добавления нового SAML-провайдера необходимо нажать кнопку "Добавить" во вкладке "Настройки SAML-провайдеров" и последовательно заполнить следующие данные:

Наименование параметраОписание параметраОбязательность

Имя

Наименование SAML-провайдера.Да
IssuerУникальный идентификатор приложения (Issuer в соответствии со спецификацией SAML 2.0).Да
Audience URI

Уникальный идентификатор, использующийся для идентификации конкретного объекта в протоколе аутентификации и авторизации SAML. Параметр содержит набор (аудиторию) субъектов, которым разрешено использовать Assertion, сгенерированное данным IdP. Данный параметр позволяет предотвратить использование Assertion SAML неавторизованными субъектами.

Нет
HTTP Binding

Формат привязки, в котором передаются данные между SP (Service Provider) и IdP (Identity Provider) 

Выбрать в выпадающем списке из вариантов:

  • HTTP Redirect - Данные передаются с помощью HTTP-перенаправлений (обычно используется для запросов аутентификации);
  • HTTP Post - Данные передаются с помощью форм HTTP POST (обычно используется для ответов аутентификации).
Да
Metadata URL

URL-адрес, на котором содержится информация о текущих настройках SAML-сервера в виде xml-файла. Рекомендуется заполнить данный параметр для упрощения и автоматизации настройки SAML-провайдера.

Нет

Подписывать запрос аутентификации

Чекбокс "Подписывать запрос аутентификации":

  • при установленном чекбоксе запрос аутентификации подписывается (рекомендуется при обычном функционировании);
  • при выключенном чекбоксе запрос аутентификации не подписывается (рекомендуется использовать только при тестировании).
Да

Пропустить проверку подписи

Чекбокс "Пропустить проверку подписи":

  • при установленном чекбоксе - проверка подписи Assertion не осуществляется (рекомендуется использовать только при тестировании);
  • при выключенном чекбоксе - проверка подписи Assertion осуществляется (рекомендуется при обычном функционировании).
Да

Entity ID

Уникальный идентификатор, использующийся для идентификации конкретного объекта в протоколе аутентификации и авторизации SAML (обычно используется URL или URI, назначенный объекту и используемый в сообщениях и метаданных SAML).Да

SSO URL

URL-адрес, на который перенаправляется при использовании механизма единого входа в приложения (SSO).Да

Ключи

Ввести ключ сертификата, который используется для обеспечения безопасности и подлинности обмена данных между IdP (Identity Provider) и SP (Service Provider).

При вводе требуется выбрать тип ключа из выпадающего списка:

  • Signing - IdP (Identity Provider) использует сертификат для проверки подписи, отправленной SP (Service Provider) в запросе аутентификации.
  • Encryption - IdP использует сертификат шифрования для сокрытия содержимого в Assertion (специальное сообщение в составе XML-документа SAML Response) SP.
Нет

Тип атрибута привязки

Тип атрибута, ассоциирующего пользователя Avanpost FAM с пользователем, загружаемым из SAML-провайдера.

Выбрать тип из выпадающего списка:

  • Имя пользователя;
  • E-mail;
  • Внешний идентификатор.
Да

Атрибут привязки

Наименование атрибута на стороне SAML-провайдера, ассоциирующего пользователя Avanpost FAM с пользователем, загружаемым из SAML-провайдера.Нет

Имя пользователя из

Наименование атрибута на стороне SAML-провайдера, из которого берется логин (username) пользователя.Да

Фамилия из

Наименование атрибута на стороне SAML-провайдера, из которого берется фамилия пользователя.Да

Имя из

Наименование атрибута на стороне SAML-провайдера, из которого берется имя пользователя.Да

Отчество из

Наименование атрибута на стороне SAML-провайдера, из которого берется отчество пользователя.Нет

E-mail из

Наименование атрибута на стороне SAML-провайдера, из которого берется электронная почта пользователя.Да

Телефон из

Наименование атрибута на стороне SAML-провайдера, из которого берется телефон пользователя.Нет

Группа по умолчанию

Группы, в которые по умолчанию добавляются пользователи, загружаемые с LDAP-провайдера. В текстовое поле требуется ввести существующие в Avanpost FAM группы.Нет

Чтобы сохранить настроенный SAML-провайдер, следует нажать "Сохранить". Для отказа от вносимых изменений требуется нажать "Отмена". 

Настройка существующего SAML-провайдера

Настройка добавленных SAML-провайдеров осуществляется в профиле SAML-провайдера. В процессе настройки доступны параметры, задаваемые на этапе добавления SAML-провайдера. Переход в профиль осуществляется нажатием на название провайдера во вкладке "Настройки SAML-провайдеров" режима "Сервис". В профиле представлены следующие возможности:

  • изменить настройки - для редактирования параметров следует нажать и перенастроить в соответствии с таблицей;
  • удалить (кнопка)  - удаление (после подтверждения) существующего SAML-провайдера.

Чтобы сохранить изменения в SAML-провайдере, следует нажать "Сохранить". Для отказа от вносимых изменений требуется нажать "Отмена".

Обсуждение