SAML¶
ℹ️ Перед добавлением сервиса предварительно необходимо создать его на странице Сервисы
Настройки сервиса SAML:
| Параметр | Описание |
|---|---|
| Сервис | В поле необходимо выбрать предварительно созданный сервис с типом SAML на странице Сервисы |
| IDP Metadata URL | URL метаданных вашего AD FS сервера, например, https://your-domain.com/FederationMetadata/2007-06/FederationMetadata.xml; |
| Сопоставление пользователей | Способ сопоставления (мапинга) удостоверения Identity Provider и пользователя "Первой Формы" |
| Settings | Настройки сервиса в формате JSON. Атрибуты: -Issuer — Издатель запроса. В терминах ADFS — это relying party trust. > ℹ️ ADFS-реализация SAML требует, чтобы Issuer совпадал с доменом SP-приложения -SignatureAlgorithm — Алгоритм подписания запросов от SP->IDP. Можно оставить пустым. В большинстве случаев это "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" (значение по умолчанию) -UserClaimName — Атрибут, который идентифицирует юзера на стороне IDP. В успешном ответе аутентификации IDP пришлет claims, и claim с названием "UserClaimName" будет использован для сопоставления пользователя между SP и IDP. Для ADFS и 1F UserClaimName = "primarySid". -SignAuthRequests — подписывать ли запросы к IDP. Если true — необходимо указать путь к файлу сертификата. > ℹ️ ADFS-реализация SAML требует подписывать запросы разлогина, поэтому для ADFS следует указать true -SignCertificatePath — путь к .pfx-сертификату для подписания запросов SP->IDP. > ℹ️ ADFS-реализация SAML требует подписывать запросы разлогина, поэтому для ADFS следует сгенерировать сертификат -SignCertificatePassword — пароль к .pfx-файлу сертификата. -ClaimsMapperConfig: IdentityClaim — Атрибут SAML/SP, который однозначно указывает на пользователя в "Первой Форме" (Email, Nick, ExternalAccount, SID); CreateProfiles — Создание профиля (true/false); ProfileAttributesMap — Справочник ключ-значение (ключ — атрибут профиля, значение — claim). Атрибуты профиля: Nick, LastName, FirstName, MiddleName, FullName, Phone, Phone2, Phone3, Email, ExternalEmail, DisplayName, Position, EnglishDisplayName, ExternalDisplayName, CellPhone, HomePhone, Fax, Skype, ICQ, LiveJournal, Twitter, IsEmployee, BirthDate (datetime), WorkStartDate (datetime), Country, City, Gender (bool), Notes, SID, GuidFrom1C (guid), PhoneAdditional, Phone2Additional, Phone3Additional, HomePhoneAdditional, MaidenName, CanEditAvatar (bool), TelegramUserName |
ℹ️ Доступные варианты сопоставления зависят от версии системы. Проверьте актуальный список в интерфейсе настроек. Подробное описание настройки SAML-аутентификации приведено здесь.