...
- Компьютер-сервер на Windows Server 2019/ 2016/ 2012 R2.
- Установленный и настроенный сервис AD FS 5.0/4.0/3.0.
- SSL-сертификат для вашей страницы авторизации AD FS и отпечаток этого сертификата.
- Аккаунт СДО iSpring Learn (облачное или серверное решение).
- Пользователь СДО с ролью Владелец аккаунта или Администратор аккаунта.
В примере ниже мы используем AD FS 4.0 на Windows Server 2016.
...
- Откройте Windows PowerShell.
- Введите Get-AdfsProperties и нажмите клавишу Enter.
- Убедитесь, что для EnableIdpIninititiatedSignonPage задано значение false.
- В PowerShell введите Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.
- Вы не увидите подтверждения, поэтому повторно введите Get-AdfsProperties и убедитесь, что для EnableIdpIninititiatedSignonPage задано значение true.
...
- Найдите сертификат в базе на сервере AD.
- Правой кнопкой мыши нажмите на сертификат и выберите View Certificate.
- Перейдите на вкладку Details.
- Найдите поле Thumbprint и скопируйте его значение.
- Войдите в свой аккаунт iSpring Learn как администратор и перейдите в меню настроек SSO по ссылке: https://youraccount.ispringlearn.ru/settings/sso
- Вставьте скопированное значение поля Thumbprint в поле Certificate Fingerprint и удалите из значения все пробелы между символами.
Введите ваши параметры в поля Metadata URL, Sign On URL и Logout URL http://YOUR_ADFS_SERVERNAME/adfs/services/trust https://YOUR_ADFS_SERVERNAME/adfs/ls/idpinitiatedsignon.aspx https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0.
Параметры Sign On URL и Logout URL могут отличаться, в зависимости от версии и настроек. Поэтому, нужно убедиться, что страницы входа и выхода существуют.
Issuer Url (IdP Entity ID) URL, который идентифицирует поставщика учётных записей. Это значение включено в SAML запрос как элемент Issuer.
Sign On Url Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления логина. Logout Url Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления выхода. Certificate Fingerprint Сокращённая версия сертификата открытого ключа проверки электронной подписи. Используется для подтверждения подписей запросов, исходящих от поставщика учётных записей (IdP). Подробнее о сертификатах fingerprint здесь. Перенаправлять пользователей на страницу логинации, заданную согласно SSO Если эта опция включена, вход в ваш аккаунт iSpring Learn будет производиться на странице https://yourcompany.ispringlearn.ru/sso/login. Добавить на боковую панель ссылку для перехода на основной сайт На боковой панели появится ссылка на ресурс, который укажет администратор. Название ссылки Название ссылки, которая появится на боковой панели. Url основного сайта Адрес ссылки, которая появится на боковой панели. - Нажмите Подключить и Сохранить.
Шаг 3. Настройка проверяющей стороны в AD FS
...
Шаг 4. Настройка правил (утверждений) передачи данных о пользователе
- Добавьте первое правило. Для этого нажмите на Add Rule...
Выберите правило Send LDAP Attributes as Claims.
- На следующем шаге введите название Правила Утверждения. Например, Attributes to iSpring Learn, и выберите Active Directory для параметра Attribute store. Далее выберите следующие значения:
- в колонке LDAP Attribute выставите E-Mail Addresses.
- в колонке Outgoing Claim Type выставите email (строго как в СДО iSpring Learn https://youraccount.ispringlearn.ru/settings/sso).
Чтобы сохранить новое правило, нажмите Finish.
Настройка соответствия поля в СДО iSpring Learn https://youraccount.ispringlearn.ru/settings/sso с атрибутами SSO.
- После проверки единого входа на шаге 7, добавьте при необходимости дополнительные атрибуты: Имя, Фамилия, Должность, Телефон и другие.
На стороне AD FS:
На стороне iSpring Learn:
Добавьте второе правило. Выберите правило Transform an Incoming Claim:
введите название Transform Account Name:
Нажмите ОК для сохранения нового правила.
Затем Apply и ОК для подтверждения завершения создания правил:
Шаг 5. Настройка безопасности
Некоторые параметры настроек безопасности созданного Relying Party Trust необходимо изменить. Для перехода к этим настройкам, выберите Properties в боковой панели справа, убедившись, что также выбран параметр Relying Party Trust.
Убедитесь, что во вкладке Advanced выбран SHA-256 для параметра Secure hash algorithm.
Шаг 6. Настройка конечных точек (Endpoints)
Во вкладке Endpoints проверьте точку, сформированную по умолчанию:
| Информация |
|---|
|
В поле Trusted URL адрес по типу https://youraccount.ispringlearn.ru/module.php/saml/sp/saml2-acs.php/default-sp
Оставьте поле Response URL пустым и нажмите ОК.
Добавьте новую точку:
- Нажмите Add SAML
- Для параметра Endpoint type выберите SAML Assertion Consumer
- Для параметра Bindingвыберите Artifact
- Для параметра Index выберите 2
- В поле Trusted URL введите адрес по типу: https://youraccount.ispringlearn.ru/module.php/saml/sp/saml2-acs.php/default-sp
- Оставьте поле Response URL пустым и нажмите ОК
Добавьте новую точку:
- Нажмите Add SAML
- Для параметра Endpoint type выберите SAML Logout
- Для параметра Bindingвыберите POST
- В поле Trusted URL введите адрес по типу: https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0
- Оставьте поле Response URL пустым и нажмите ОК
Должно быть три конечные точки:
Нажмите Apply и ОК для подтверждения.
Настройки завершены.
Шаг 7. Проверка единого входа
Перейдите по адресу вашей СДО https://youraccount.ispringlearn.ru
Нажмите Войти через корпоративный доступ
Если настройки корректны, откроется личный кабинет обучающегося.
В противном случае направьте на support@ispring.ru скриншот с ошибкой.
