Предварительные требования

• Установленный и настроенный Indeed Identity Provider(IDP)
• Установленный и настроенный HOSTVM VDI
• Сгенерированный сертификат для подписания и шифрования SAML
• Метаданные IDP

Получение метаданных IDP

Чтобы настроить аутентификацию по SAML в HostVM VDI, нам нужны метаданные IDP.
Для получения метаданных используем утилиту SAML4.2.0-MetadataUtils-win-x64\ExportMetadata.exe
Запускаем ExportMetadata.exe через powershell на сервере IDP и при запросе “SAML configuration file to export [appsettings.json]:” нужно указать файл app-settings.json, если скопировать в папку с утилитой, или полный путь до файла.

Получаем metadata.xml - файл с метаданными IDP.

Сертификат для подписания и шифрования SAML

Одно из требований настройки аутентификации по SAML на HostVM VDI, сгенерированный RSA сертификат. В данной статье рассматривается самоподписанный сертификат.
Создаем закрытый ключ:
openssl genrsa -out example.key 2048
Создаем запрос на подпись (CSR):
openssl req -new -key example.key -out example.csr
Нужно указать информацию о сервере и организации, которая будет использоваться в сертификате.
Подписываем CSR:
openssl x509 -req -days 365 -in example.csr -signkey example.key -out example.crt

Настройка HostVM VDI

Внимание! Если в HostVM VDI Панель управления - Аутентификация - Аутентификаторы нет ни одного настроенного способа, то после настройки SAML при заходе на страницу входа, сразу будет редирект на IDP. Поэтому рекомендуем настроить сперва один из способов аутентификации по документации до настройки SAML.

Создаем аутентификатор SAML

Задаем имя, приоритет и метку

Добавляем приватный ключ (example.key) и сертификат(example.crt) сгенерированные ранее.

Вставляем IDP метаданные из файла metadata.xml, полученные ранее с помощью утилиты.

Настраиваем атрибуты. В версии 8.2 мы не можем передавать атрибут с группами из Active Directory(AD), поэтому мы изменим мапинг на сервере AM Core атрибута MiddleName на неиспользуемый в AD, в данном примере groupPriority.
<adObjectMapRule attribute="MiddleName" adAttribute="groupPriority" /> и в этом атрибуте укажем “HostVM-VDI-Users”

В последнем меню устанавливаем видимость данного аутентификатора “Да”, проверяем конфигурацию и сохраняем.

После сохранение в списке отобразится аутентификатор SAML, наводим на него курсором и нажимаем стрелку справа и попадаем в дополнительно меню.

Во вкладки группы, создаем группу с названием “HostVM-VDI-Users”, т.е. значение атрибута MiddleName.

Во вкладке обзор нам необходимо значение ID объекта(url), перейдя по данному url скачиваются файл с метаданными HostVM VDI.

Настройка IDP

Скопируем в папку с утилитой SAML4.2.0-MetadataUtils-win-x64\ImportMetadata.exe полученные метаданные  HostVM VDI и запустим через powershell и на запросе “SAML metadata file or URL to import:” нужно указать полученные метаданные. 

Получаем файл saml.json с настройками IDP

На сервере IDP необходимо установить сертификат example.crt , генерируемый ранее. Расположение хранилища “Локальный компьютер”, поместить все сертификаты в следующее хранилище “Личное”.
Настраиваем конфигурационный файл IDP C:\inetpub\wwwroot\am\idp\app-settings.json. В секции SAML добавляем настройки из файла saml.json полученного ранее. А также Thumbprint сертификата example.crt. Обязательно соблюдаем форматирование конфигурационного файла.

В секции LoginFormats добавляем

В секции CustomAttributes добавляем передаваемые атрибуты

Сохраняем конфигурационный файл и перезапускаем IDP

Проверяем вход по аутентификатору SAML

Переходим на страницу входа HostVM VDI и в аутентификаторах выбираем SAML

Происходит редирект на страницу входа IDP. В котором необходимо авторизоваться