По умолчанию Indeed AM SAML IDP настроен на использование Windows аутентификации, для вне доменных сценариев требуется включить анонимную аутентификацию в IIS для iidsamlidp.


Файлы для indeed SAML IDP расположены: indeed AM\Indeed AM SAML IDP \<Номер версии>\

  • AM.SAML.IDP-x64.ru-ru.msi - Пакет для установки indeed SAML IDP.
  • /Misc/Server2012/Indeed.SAML.IIS.Install.MSServer2012.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2012.

Установка

  1. Выполнить установку Indeed AM SAML IDP через запуск инсталлятора AM.SAML.IDP-x64.ru-ru.msi
  2. Добавить привязку https в настройках Default Web Site в IIS Manager.

    Indeed AM SAML IDP является Web приложением, которое работает на базе IIS, в процессе установки для него по умолчанию включается обязательно требование SSL в настройках, что в свою очередь требует включенной привязки https.

    Если вы не намерены использовать протокол https, необходимо отключить требование SSL в настройках IIS для SAML IDP.


    1. Запустите IIS Manager и раскройте пункт Сайты (Sites).
    2. Выберите сайт Default Web Site и нажмите Привязки (Bindings) в разделе Действия (Actions).
    3. Нажмите Добавить (Add):
      1. Тип (Type) - https.
      2. Порт (Port) - 443.
      3. Выберите SSL-сертификат (SSL Certificate).
    4. Сохраните привязку.

  3. Настроить делегирование Kerberos.
  4. Добавить приложение SAML в local Internet. 

Редактирование конфигурационного файла

  1. Откройте конфигурационный файл SAML IDP Web.config (C:\inetpub\wwwroot\iidsamlidp\Web.config).
  2. Укажите URL для подключения к серверу Indeed для параметра Url в тэге amAuthServer.

    1. Параметр Url - url адрес сервера Indeed в формате http(s)://полное_dns_имя_сервера/easerver/

      Для игнорирования ошибок сертификата сервера необходимо изменить параметр "isIgnoreCertErrors" на значение "true" в файле "applicationSettings.config" ( iidsamlidp\Config ).


      <amAuthServer Url="https://amserv.indeed-id.local/easerver"/>


  3. В теге amAuthMethods укажите ID провайдера в формате:

    1. Если для входа используется 1 провайдер.

      <amAuthMethod id="SMSOTP"> <amAuthProviders> <amAuthProvider id="ebb6f3fa-a400-45f4-853a-d517d89ac2a3" /> </amAuthProviders> </amAuthMethod>


    2. Если для входа используется "цепочка" из провайдеров.

      Если используется цепочка с Windows Password + провайдер:

      • Windows Password был введен верно, произвольный провайдер неверно - в "История входов" пользователя будет отображаться успешный вход в SAML Identity Provider с помощью Windows Password. 
      • Windows Password был введен верно, произвольный провайдер верно - в "История входов" пользователя будет отображаться успешный вход  с помощью провайдера пользователя.


      <amAuthMethod id="HOTP_Passcode_SMS"> 
      <amAuthProviders> 
      <amAuthProvider id="AD3FBA95-AE99-4773-93A3-6530A29C7556" /> 
      <amAuthProvider id="F696F05D-5466-42b4-BF52-21BEE1CB9529" /> 
      <amAuthProvider id="ebb6f3fa-a400-45f4-853a-d517d89ac2a3" /> 
      </amAuthProviders> 
      </amAuthMethod>


      • Параметр id тега amAuthMethod - Произвольное уникальное значение.
      • Параметр id тега amAuthProvider - id используемого провайдера.

        Параметр id тега amAuthProvider может иметь разные ID провайдеров:

        {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

        {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

        {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

        {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software OTP

        {AD3FBA95-AE99-4773-93A3-6530A29C7556}HOTP Provider

        {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - TOTP Provider

        {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKeyProvider

        {CF189AF5-01C5-469D-A859-A8F2F41ED153} - Windows Password


Пример работы расширения

  1. Для аутентификации в SAML откройте URL http(s)://полное_dns_имя_сервера/iidsamlidp/
  2. В появившемся окне аутентификации SAML нажмите "Back" для выбора способа аутентификации, по умолчанию используется последний используемый способ.

    Если доступна "Проверка подлинности Windows" и выключена "Анонимная проверка подлинности" в методах аутентификации IIS, то логин пользователя подставляется автоматически без возможности изменить, и пробрасывается доменный пароль пользователя.

    Если используется "Анонимная проверка подлинности" и выключена "Проверка подлинности Windows", то пользователь может изменить логин и потребуется ввод доменного пароля.


  3. Выберите способ аутентификации и нажмите "Select". 

    Если у пользователя нет обученного аутентификатора, то выберите "Windows Password".


  4. Введите пароль и нажмите "Sing in". Если ввод данных был успешный, то произойдет вход.