История страницы

...

• Компьютер-сервер на Windows Server 2019/ 2016/ 2012 R2
• Установленный и настроенный сервис AD FS 5.0/4.0/3.0
• SSL-сертификат для вашей страницы авторизации AD FS и отпечаток этого сертификата
• Аккаунт СДО LMS iSpring Learn (облачное или серверное решение)
• Пользователь СДО LMS с ролью Владелец аккаунта или Администратор аккаунта

В примере ниже мы используем используется AD FS 4.0 на Windows Server 2016.

Шаг 0. Включение страницы входа Idp-Initiated

По умолчанию для AD FS 5.0/4.0 в Windows Server 2019/2016 не включена страница входа. Чтобы включить ее, используйте команду PowerShell Set-AdfsProperties. Для этого:

...

.

...

Шаг 1. Проверка настроек AD FS

1. Войдите в AD FS сервер и запустите ADFS Management Console через ярлык в меню Control Panel —> → System and Security —>  → Administrative Tools.
   
   
   
   
2. Нажмите правой кнопкой мыши на Service и выберите Edit Federation Service Properties…
   
   
   
   
3. Убедитесь, что поля во вкладке General соответствуют вашей DNS-записи и именам сертификата. Адрес в поле Federation Service Identifier будет также использован использоваться при настройке SAML 2.0 на стороне СДО iSpring Learn.
   
   
4. В поле Federation Service nameнужно использовать домен  используйте домен третьего уровня, например, adfs.ispring.ru. Далее будем использовать YOUR
   Далее в примере используется YOUR_ADFS_SERVERNAME.
   
   
   

Шаг 2. Настройка iSpring Learn

1. Найдите сертификат в базе на сервере AD.
   
   
2. Правой кнопкой мыши нажмите на сертификат и выберите View Certificate.
   
   
3. Перейдите на вкладку Details.
   
   
4. Найдите поле Thumbprint и скопируйте его значение.
   
   
   
   
5. Войдите в свой аккаунт iSpring Learn как администратор и . Затем перейдите в меню настроек SSO по ссылке: https://youraccount.ispringlearn.ru/settings/ssoраздел Сервисы → SSO и нажмите на вкладку SAML. 
   
   Image Added
   
   
6. Вставьте скопированное значение поля Thumbprint в поле Certificate Fingerprint и удалите из значения все пробелы между символами.
   
   

7. Затем заполните поля:
   

   Введите ваши параметры в поля Metadata URL, Sign On URL и Logout URL

   Название поля	Пример
   Issuer Url (idP Entity ID)

   http://YOUR_ADFS_SERVERNAME/adfs/services/trust
   Sign On URL	https://YOUR_ADFS_SERVERNAME/adfs/ls/idpinitiatedsignon.aspx
   Logout URL	https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0

   .

   Параметры Sign On URL и Logout URL могут отличаться , в зависимости от версии и настроек . Поэтому, нужно убедитьсяAD FS. Убедитесь, что страницы входа и выхода существуют.
   Image Removed
   Image Added
   

   Issuer Url (IdP Entity ID)	URL, который идентифицирует поставщика учётных записей. Это значение включено в SAML запрос как элемент Issuer.
   Sign On Url	Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления логина.
   Logout Url	Путь к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления выхода.
   Certificate Fingerprint	Сокращённая версия сертификата открытого ключа проверки электронной подписи. Используется для подтверждения подписей запросов, исходящих от поставщика учётных записей (IdP). Подробнее о сертификатах fingerprint здесь.
   Перенаправлять пользователей на страницу логинации, заданную согласно входа через SSO	Если эта опция включена, вход в ваш аккаунт iSpring Learn будет производиться на странице https://yourcompany.ispringlearn.ru/sso/login.
   Добавить на боковую панель ссылку для перехода на основной сайт	На боковой панели появится ссылка на ресурс, который укажет администратор.
   Название ссылки	Название ссылки, которая появится на боковой панели.
   Url основного сайта	Адрес ссылки, которая появится на боковой панели.

   +

8. Нажмите Подключить.
   
   Image Added
   
   
9. Затем добавьте ссылку на сервис в разделе Ссылки.
   
   Image AddedНажмите Подключить.
   Image Removed

Шаг 3. Настройка проверяющей стороны в AD FS

1. Откройте Панель панель управления AD FS, нажмите правой . Затем правой кнопкой мыши нажмите на Relying Party Trusts и выберите Add Relying Party Trust…
   
   
   
   
2. Выберите Claims aware и нажмите Start.
   
   
   
   
3. На шаге этапе Select Data Source выберите последнюю опцию в списке – опцию Enter data about the relying party manually и нажмите Next.
   
   
   
   
4. Затем введите название Display nameв поле Display name введите название, которое будет использоваться в будущем. Нажмите Next.
   
   
   
   
5. На следующем шаге этапе Configure Certificate оставьте все параметры в том же виде, как они выставлены по умолчанию. Нажмите Next.
   Image Removed
   Image Added
   
   
6. Поставьте Затем поставьте флажок напротив параметра Enable support for the SAML 2.0 WebSSO protocol. В поле введите URL по типу:  типу https://youraccount.ispringlearn.ru/module.php/saml/sp/saml2-acs.php/default-sp.
   
   
   
   
7. Затем На этапе Configure Identifiers добавьте Relying party trust identifier по типу: типу https://youraccount.ispringlearn.ru/module.php/saml/sp/metadata.php/default-sp. Нажмите Add.
   
   
   
   
8. Нажмите AddЗатем нажмите Next.
   
   
   
   
9. Далее на этапе Choose Access Control Policy выберите параметр Permit everyone. Затем нажмите Next.
   Image Removed
   
   Image Added
   
   
10. На этапе Ready to Add Trust оставьте Затем оставьте все параметры по умолчанию и нажмите Next.
    
    
    
    
11. Поставьте На последнем этапе поставьте флажок напротив параметра Configure claims issuance policy for this application и . Затем нажмите Close, чтобы выйти из мастера настройки добавления проверяющей стороны.
    
    

Шаг 4. Настройка правил

...

передачи данных о пользователе

1. Откройте панель управления AD FS. В разделе Relying Party Trusts кликните по названию правой кнопкой мыши и нажмите Edit Claim Issuance Police.
   
   Image Modified
   
   
2. Добавьте первое правило. Для этого нажмите на Add Rule...
   Image Removed
   Image Added
   
   

3. Выберите Затем выберите правило Send LDAP Attributes as Claims. Нажмите Next.
   
   
   
   

4. На следующем шаге этапе Configure Claim Rule в поле Claim rule name введите название Правила Утвержденияправила. Например, Attributes to iSpring Learn, и . 
   
   Image Added
   
   
5. Для параметра Attribute store выберите Active Directory.
   
   Image Added
   
   
6. для параметра Attribute store. Далее выберите следующие значения:
   
   • в В колонке LDAP Attribute выставите E-Mail-Addresses.
   • в В колонке Outgoing Claim Type выставите значение email(строго , как в СДО LMS iSpring Learn Learn https://youraccount.ispringlearn.ru/app/admin-portal/settings/sso)?s=settings/SAML.
     Image Removed
     Image Added
     
     

7. Чтобы сохранить новое правило, нажмите Finish.
   Настройка соответствия поля в СДО iSpring Learn https://youraccount.ispringlearn.ru/settings/sso с атрибутами SSO.
   Image Removed
   

8. Подробнее о соответствии полей iSpring Learn и SSO-->

9. 
   

   Image Added
   
   
10. После проверки единого входа на шаге 7, добавьте при необходимости дополнительные атрибуты: Имя, Фамилия, Должность, Телефон и другие.
    На стороне AD FS:
    Image Removed
    На стороне iSpring Learn:
    Image Removed
    

    Добавьте второе правило. Выберите Для этого выберите правило Transform an Incoming Claim:. 
    
    
    
    

11. введите Введите название   Transform Account Name: и нажмите ОК.
    
    
    Нажмите ОК для сохранения нового правила.
    
    

12. Затем Для подтверждения нажмите Apply и ОК для подтверждения завершения создания правил:затем ОК.
    
    

Шаг 5. Настройка безопасности

Некоторые параметры настроек безопасности созданного Relying Party Trust необходимо изменить. Для перехода к этим настройкам, выберите Properties в боковой панели справа, убедившись, что также выбран параметр Relying Party Trust.

Image Removed

...

Убедитесь, что в настройках безопасности для параметра Secure hash algorithm указан SHA-256. Для этого:

1. Откройте панель управления AD FS. В разделе Relying Party Trusts кликните по названию правой кнопкой мыши и нажмите на Properties.
   
   Image Added
   
   
2. Перейдите во вкладку Advanced и в поле Secure hash algorithm выберите SHA-256.
   
   
3. Нажмите ОК.
   
   Image Modified

Шаг 6. Настройка конечных точек

...

Endpoints

1. Откройте панель управления AD FS. В разделе Relying Party Trusts правой кнопкой мыши кликните по названию и нажмите на Properties.
   
   Image Modified
   
   

2. Во вкладке Endpoints проверьте точку, сформированную по умолчанию:

...

Image Removed

...

1. • Для параметра Endpoint type установлено SAML Assertion Consumer.

   • Для параметра Index

...

1. • установлено 0.

   • Для параметра Binding

...

1. • установлено POST.
     
     Image Added
     
     

   • В поле TrustedURL введите адрес по типу https://youraccount.ispringlearn.ru/module.php/saml/sp/saml2-acs.php/default-sp

...

1. • . Оставьте поле Response URL пустым и нажмите ОК.
     

Image Removed

...

1. • 
     Image Added
     
     

2. Затем добавьте 2 точки выхода.
   
   
   • Чтобы добавить точку:
     
     1. Нажмите Add SAML.
        
     2. Для параметра Endpoint type выберите SAML Assertion Consumer.
        
     3. Для параметра Bindingвыберите Artifact.
     4. Для параметра Index выберите 2.
     5. В поле Trusted URL введите адрес по

...

1. • 1. типу https://youraccount.ispringlearn.ru/module.php/saml/sp/saml2-acs.php/default-sp.
     2. Оставьте поле Response URL пустым и нажмите ОК.
        +
        Image Added
        

...

1. • 1. +
   • Добавьте новую точку. Для этого: 
     1. Нажмите Add SAML.
     2. Для параметра Endpoint type выберите SAML Logout.
     3. Для параметра Bindingвыберите POST.
     4. В поле Trusted URL введите адрес по

...

1. • 1. типу https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0.
     2. Оставьте поле Response URL пустым и нажмите ОК.
        

Image Removed

...

1. • 1. +
        Image Added
        +
2. Убедитесь, что добавлены три конечные точки

...

Image Removed

...

1. . Для подтверждения нажмите Apply и затем ОК

...

1. .
   

...

1. 
   Image Added

Шаг 7. Проверка единого входа

1. Перейдите

...

1. в аккаунт iSpring Learn https://youraccount.ispringlearn.ru.
   
   

2. Нажмите Войти через корпоративный доступ

...

1. .
   
   Image Added
   
   Откроется личный кабинет обучающегося.
   

В противном случае направьте на support@ispring.ru скриншот с ошибкой.

...

1. 
   Если при настройке появилась ошибка, направьте скриншот с ошибкой на support@ispring.ru.
   

   Информация
   Настройка соответствия поля в LMS iSpring Learn Кроме правил вы также можете указать соответствия между полями iSpring Learn и атрибутами SSO: Имя, Фамилия, Должность, Телефон и другие. Подробнее о соответствии полей iSpring Learn и SSO. На стороне AD FS: Image Added На стороне iSpring Learn: Image Added

   Авторизация без SAML

   Если вы включили SAML в вашем аккаунте iSpring Learn и по каким-то причинам не можете войти, используя единый вход, введите следующий адрес: https://yourcompany.ispringlearn.ru/login?no_sso, где yourcompany.ispringlearn.ru URL вашего аккаунта LMS iSpring Learn.

   Теперь вы войдете в аккаунт как обычно — с помощью логина и пароля.

   Информация

   Важно Если после подключения SAML вы увидите ошибку 400 и сообщение о том, запрос составлен неверно (Cannot retrieve metadata for IdP 'https://myidp.com/oam/fed' because it isn't a valid IdP for this SP), то значение для поля Issuer Url (IdP Entity ID) указано неверно. Image Added Чтобы авторизация с помощью SAML заработала корректно, скопируйте URL из ошибки и вставьте его в поле Issuer Url (IdP Entity ID).  Image Added