История страницы

...

По умолчанию для AD FS 5.0/4.0 в Windows Server 2019/2016 страница входа не включена страница входа. Чтобы включить ее, используйте команду PowerShell Set-AdfsProperties. Для этого:

Откройте Windows PowerShell.
Введите Get-AdfsProperties и нажмите клавишу Enter.
Убедитесь, что для EnableIdpIninititiatedSignonPage задано значение false False.
В PowerShell введите Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.
Вы не увидите подтверждения, поэтому повторно Подтверждение не появится. Повторно введите Get-AdfsProperties и убедитесь, что для EnableIdpIninititiatedSignonPage задано значение true True.

Шаг 1. Проверка настроек AD FS

Войдите в AD FS сервер и запустите ADFS Management Console через ярлык в меню Control Panel —> System and Security —> Administrative Tools.
Нажмите правой кнопкой мыши на Service и выберите Edit Federation Service Properties…
Убедитесь, что поля во вкладке General соответствуют вашей DNS-записи и именам сертификата. Адрес в поле Federation Service Identifier будет также использован при настройке SAML 2.0 на стороне СДО iSpring Learn.
В поле Federation Service nameнужно использовать домен используйте домен третьего уровня, например, adfs.ispring.ru. Далее будем использовать YOUR_ADFS_SERVERNAME.

...

Найдите сертификат в базе на сервере AD.
Правой кнопкой мыши нажмите на сертификат и выберите View Certificate.
Перейдите на вкладку Details.
Найдите поле Thumbprint и скопируйте его значение.
Войдите в свой аккаунт iSpring Learn как администратор и перейдите в меню настроек SSO по ссылке: https://youraccount.ispringlearn.ru/settings/sso.
Вставьте скопированное значение поля Thumbprint в поле Certificate Fingerprint и удалите из значения все пробелы между символами.

Введите ваши параметры в поля Metadata URL, Sign On URL и Logout URL:http://YOUR_ADFS_SERVERNAME/adfs/services/trust https://YOUR_ADFS_SERVERNAME/adfs/ls/idpinitiatedsignon.aspx https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0.
Параметры Sign On URL и Logout URL могут отличаться, в зависимости от версии и настроек. ПоэтомуУбедитесь, нужно убедиться, что страницы входа и выхода существуют.

Issuer Url (IdP Entity ID)	URL, который идентифицирует поставщика учётных записей. Это значение включено в SAML запрос как элемент Issuer.
Sign On Url	Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления логина.
Logout Url	Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления выхода.
Certificate Fingerprint	Сокращённая версия сертификата открытого ключа проверки электронной подписи. Используется для подтверждения подписей запросов, исходящих от поставщика учётных записей (IdP). Подробнее о сертификатах fingerprint здесь.
Перенаправлять пользователей на страницу логинации, заданную согласно SSO	Если эта опция включена, вход в ваш аккаунт iSpring Learn будет производиться на странице https://yourcompany.ispringlearn.ru/sso/login.
Добавить на боковую панель ссылку для перехода на основной сайт	На боковой панели появится ссылка на ресурс, который укажет администратор.
Название ссылки	Название ссылки, которая появится на боковой панели.
Url основного сайта	Адрес ссылки, которая появится на боковой панели.

Нажмите Подключить.

...

Откройте Панель управления AD FS, нажмите правой . Затем правой кнопкой мыши нажмите на Relying Party Trusts и выберите Add Relying Party Trust…
Выберите Claims aware и нажмите Start.
На шаге этапе Select Data Source выберите последнюю опцию в списке – опцию Enter data about the relying party manually.
Затем введите название Display nameв поле Display name введите название, которое будет использоваться в будущем.
На следующем шаге этапе Configure Certificate оставьте все параметры в том же виде, как они выставлены по умолчанию.
Поставьте Затем поставьте флажок напротив параметра Enable support for the SAML 2.0 WebSSO protocol. В поле введите URL по типу: https://youraccount.ispringlearn.ru/module.php/saml/sp/saml2-acs.php/default-sp.
Затем На этапе Configure Identifiers добавьте Relying party trust identifier по типу: https://youraccount.ispringlearn.ru/module.php/saml/sp/metadata.php/default-sp. Нажмите Add.
Нажмите AddЗатем нажмите Next.
Далее на этапе Choose Access Control Policy выберите параметр Permit everyone. Затем нажмите Next.
Image Removed

Image Added
На этапе Ready to Add Trust оставьте Затем оставьте все параметры по умолчанию и нажмите Next.
Поставьте флажок напротив параметра Configure claims issuance policy for this application и . Затем нажмите Close, чтобы выйти из мастера настройки добавления проверяющей стороны.

Шаг 4. Настройка правил

...

передачи данных о пользователе

Добавьте первое правило. Для этого нажмите на Add Rule...
Выберите Затем выберите правило Send LDAP Attributes as Claims. Нажмите Next.
На следующем шаге этапе Configure Claim Rule в поле Claim rule name введите название Правила Утверждения. Например, Attributes to iSpring Learn.

Image Added
Затем , и выберите Active Directory для параметра Attribute store.

Image Added
Далее выберите следующие значения:
- в В колонке LDAP Attribute выставите E-Mail-Addresses.
- в В колонке Outgoing Claim Type выставите email(строго , как в СДО iSpring Learn Learn https://youraccount.ispringlearn.ru/settings/sso).
Чтобы сохранить новое правило, нажмите Finish.
Настройка соответствия поля в СДО iSpring Learn https://youraccount.ispringlearn.ru/settings/sso с атрибутами SSO.
Подробнее о соответствии полей iSpring Learn и SSO-->
После проверки единого входа на шаге 7, добавьте при необходимости дополнительные атрибуты: Имя, Фамилия, Должность, Телефон и другие.
На стороне AD FS:

На стороне iSpring Learn:
Добавьте второе правило. Выберите правило Transform an Incoming Claim:
введите название Transform Account Name:
Нажмите ОК для сохранения нового правила.
Затем Apply и ОК для подтверждения завершения создания правил: