Документация

Настройка входа по SAML

Технология единого входа (Single Sign-On, SSO) позволяет пользователю получить доступ ĸ Т1 Диск, используя корпоративные email и пароль. SSO T1 Диска работает через протокол аутентификации SAML 2.0. Можно использовать SSO с любым провайдером идентифиĸации, поддерживаемым SAML 2.0.

После настройки интеграции T1 Диск с провайдером идентификации (например, ADFS, Avanpost FAM):

  • администратору не придётся вручную добавлять пользователей в Т1 Диск. Учётная запись пользователя в Т1 Диск создаётся автоматически при первом входе;
  • при входе в Т1 Диск пользователи указывают домен организации, после чего происходит идентификация пользователей вашей организации, и они перенаправляются ĸ нужному провайдеру идентифиĸации. На странице провайдера пользователи указывают корпоративный email и пароль, после чего открывается Т1 Диск.

Чтобы настроить вход пользователей в Т1 Диск по SAML (на примере ADFS, но можно использовать и другие провайдеры идентификации):

  1. Запустите ADFS.
  2. В контекстном меню папки Отношения доверия проверяющей стороны/Relying Party Trusts выберите пункт Добавить отношение доверия проверяющей стороны/Add Relying Party Trust. Запустится мастер добавления отношений доверия проверяющей стороны.
  3. На этапе Добро пожаловать/Welcome нажмите на кнопку Запустить/Start.
  4. На этапе Выбор источника данных/Select Data Source в поле Адрес метаданных федерации (имя узла или URL-адрес)/Federation metedata address (host name or URL) вставьте ссылку:
    1. В Т1 Диск перейдите в раздел <Имя пользователя> → Профиль и настройки → <Название компании>.
    2. Установите переключатель SAML, перейдите по ссылке SAML 2.0 Service Provider Metadata и скопируйте ссылку из атрибута entityID.
  5. Нажмите на кнопку Далее/Next.
  6. На этапе Указание отображаемого имени/Specify Display Name поле Отображаемое имя/Display name заполняется автоматически. Нажмите на кнопку Далее/Next.
  7. На этапе Выбрать политику управления доступом/Choose Access Control Policy выберите политику Разрешение для каждого/Permit everyone и нажмите на кнопку Далее/Next.
  8. На этапе Готовность для добавления отношения доверия/Ready to Add Trust перейдите на вкладку Конечные точки/Endpoints и убедитесь, что автоматически добавились 2 ссылки — Конечные точки получателей проверочного утверждения SAML/SAML Assertion Consumer Endpoints и Конечные точки завершения сеанса SAML/SAML Logout Endpoints:
  9. Нажмите на кнопку Далее/Next.
  10. На этапе Готово/Finish установите флажок Настроить политику выдачи утверждений для этого приложения/Configure claims issuance policy for this application и нажмите на кнопку Закрыть/Close. В папке Отношения доверия проверяющей стороны/Relying Party Trusts появится созданное отношение доверия.
  11. Разрешите отправĸу полей E-Mail Address, Given-Name, Surname, Name ID в SAMLResponse (для идентифиĸации учётной записи на стороне Т1 Диск):
    1. В открывшемся окне нажмите на кнопку Добавить правило/Add Rule.
    2. В поле Шаблон правила утверждения/Claim rule template выберите значение Отправка атрибутов LDAP как утверждений/Send LDAP Attributes as Claims.
    3. Нажмите на кнопку Далее/Next.
    4. Заполните поля, как на скриншоте:
    5. Нажмите на кнопку Готово/ОК.
    6. Нажмите на кнопку Добавить правило/Add Rule.
    7. В поле Шаблон правила утверждения/Claim rule template выберите значение Отправка атрибутов LDAP как утверждений/Send LDAP Attributes as Claims.
    8. Нажмите на кнопку Далее/Next.
    9. Заполните поля, как на скриншоте:
    10. Нажмите на кнопку Готово/ОК.
    11. Нажмите на кнопку Добавить правило/Add Rule.
    12. В поле Шаблон правила утверждения/Claim rule template выберите значение Отправка атрибутов LDAP как утверждений/Send LDAP Attributes as Claims.
    13. Нажмите на кнопку Далее/Next.
    14. Заполните поля, как на скриншоте:
    15. Нажмите на кнопку Готово/ОК.
    16. Нажмите на кнопку Добавить правило/Add Rule.
    17. В поле Шаблон правила утверждения/Claim rule template выберите значение Отправка атрибутов LDAP как утверждений/Send LDAP Attributes as Claims.
    18. Нажмите на кнопку Далее/Next.
    19. Заполните поля, как на скриншоте:
    20. Нажмите на кнопку Готово/ОК. Откроется окно с добавленными правилами:
    21. Нажмите на кнопку ОК.
  12. В Т1 Диск перейдите в раздел <Имя пользователя> (в правом верхнем углу Т1 Диск) → Профиль и настройки  <Название компании>.
  13. В настройке Метод входа для пользователей выберите значение SAML:
  14. В поле URL-адрес метаданных поставщика удостоверений SAML вставьте URL метаданных сервера ADFS в виде https://<адрес ADFS-сервера>/FederationMetadata/2007-06/FederationMetadata.xml. В качестве адреса ADFS-сервера можно указать IP-адрес, имя хоста или имя домена.
  15. Нажмите на кнопку Импортировать настройки SAML. Настройки импортируются и отобразятся в соответствующих полях. Если это не произошло, заполните их вручную, используя значения из XML-файла.
  16. Нажмите на кнопку Сохранить внизу страницы Т1 Диск.

Мы ответили на ваш вопрос?