Системные требования:
- Компьютер-сервер на Windows Server 2019/ 2016/ 2012 R2.
- Установленный и настроенный сервис AD FS 5.0/4.0/3.0.
- SSL-сертификат для вашей страницы авторизации AD FS и отпечаток этого сертификата.
- Аккаунт СДО iSpring Learn (облачное или серверное решение).
- Пользователь СДО с ролью Владелец аккаунта или Администратор аккаунта.
В примере ниже мы используем AD FS 4.0 на Windows Server 2016.
Шаг 0. Включение страницы входа Idp-Initiated
По умолчанию для AD FS 5.0/4.0 в Windows Server 2019/2016 не включена страница входа. Чтобы включить ее, используйте команду PowerShell Set-AdfsProperties. Для этого:
- Откройте Windows PowerShell.
- Введите Get-AdfsProperties и нажмите клавишу Enter.
- Убедитесь, что для EnableIdpIninititiatedSignonPage задано значение false.
- В PowerShell введите Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.
- Вы не увидите подтверждения, поэтому повторно введите Get-AdfsProperties и убедитесь, что для EnableIdpIninititiatedSignonPage задано значение true.
Шаг 1. Проверка настроек AD FS
- Войдите в AD FS сервер и запустите ADFS Management Console через ярлык в меню Control Panel —> System and Security —> Administrative Tools.
- Нажмите правой кнопкой мыши на Service и выберите Edit Federation Service Properties…
- Убедитесь, что поля во вкладке General соответствуют вашей DNS-записи и именам сертификата. Адрес в поле Federation Service Identifier будет также использован при настройке SAML 2.0 на стороне СДО iSpring Learn.
- В поле Federation Service name нужно использовать домен третьего уровня, например, adfs.ispring.ru. Далее будем использовать YOUR_ADFS_SERVERNAME.
Шаг 2. Настройка iSpring Learn
- Найдите сертификат в базе на сервере AD.
- Правой кнопкой мыши нажмите на сертификат и выберите View Certificate.
- Перейдите на вкладку Details.
- Найдите поле Thumbprint и скопируйте его значение.
- Войдите в свой аккаунт iSpring Learn как администратор и перейдите в меню настроек SSO по ссылке: https://youraccount.ispringlearn.ru/settings/sso
- Вставьте скопированное значение поля Thumbprint в поле Certificate Fingerprint и удалите из значения все пробелы между символами.
- Введите ваши параметры в поля Metadata URL, Sign On URL и Logout URL http://YOUR_ADFS_SERVERNAME/adfs/services/trust https://YOUR_ADFS_SERVERNAME/adfs/ls/idpinitiatedsignon.aspx https://YOUR_ADFS_SERVERNAME/adfs/ls/?wa=wsignout1.0.
Параметры Sign On URL и Logout URL могут отличаться, в зависимости от версии и настроек. Поэтому, нужно убедиться, что страницы входа и выхода существуют. - Нажмите Подключить и Сохранить.
Шаг 3. Настройка проверяющей стороны в AD FS
Откройте Панель управления AD FS, нажмите правой кнопкой мыши на Relying Party Trusts и выберите Add Relying Party Trust…