Предварительные требования
- Установленный и настроенный Indeed Identity Provider(IDP)
- Установленный и настроенный HOSTVM VDI
- Сгенерированный сертификат для подписания и шифрования SAML
- Метаданные IDP
Получение метаданных IDP
Чтобы настроить аутентификацию по SAML в HostVM VDI, нам нужны метаданные IDP. Для получения метаданных используем утилиту SAML4.2.0-MetadataUtils-win-x64\ExportMetadata.exe Запускаем ExportMetadata.exe через powershell на сервере IDP и при запросе “SAML configuration file to export [appsettings.json]:” нужно указать файл app-settings.json, если скопировать в папку с утилитой, или полный путь до файла.
 Получаем metadata.xml - файл с метаданными IDP.
Сертификат для подписания и шифрования SAML
Одно из требований настройки аутентификации по SAML на HostVM VDI, сгенерированный RSA сертификат. В данной статье рассматривается самоподписанный сертификат. Создаем закрытый ключ: openssl genrsa -out example.key 2048 Создаем запрос на подпись (CSR): openssl req -new -key example.key -out example.csr Нужно указать информацию о сервере и организации, которая будет использоваться в сертификате. Подписываем CSR: openssl x509 -req -days 365 -in example.csr -signkey example.key -out example.crt
Настройка HostVM VDI
Внимание! Если в HostVM VDI Панель управления - Аутентификация - Аутентификаторы нет ни одного настроенного способа, то после настройки SAML при заходе на страницу входа, сразу будет редирект на IDP. Поэтому рекомендуем настроить сперва один из способов аутентификации по документации до настройки SAML.
Создаем аутентификатор SAML
 Задаем имя, приоритет и метку
 Добавляем приватный ключ (example.key) и сертификат(example.crt) сгенерированные ранее.
 Вставляем IDP метаданные из файла metadata.xml, полученные ранее с помощью утилиты.
 Настраиваем атрибуты. В версии 8.2 мы не можем передавать атрибут с группами из Active Directory(AD), поэтому мы изменим мапинг на сервере AM Core атрибута MiddleName на неиспользуемый в AD, в данном примере groupPriority. <adObjectMapRule attribute="MiddleName" adAttribute="groupPriority" /> и в этом атрибуте укажем “HostVM-VDI-Users”
 В последнем меню устанавливаем видимость данного аутентификатора “Да”, проверяем конфигурацию и сохраняем.
 После сохранение в списке отобразится аутентификатор SAML, наводим на него курсором и нажимаем стрелку справа и попадаем в дополнительно меню.
 Во вкладки группы, создаем группу с названием “HostVM-VDI-Users”, т.е. значение атрибута MiddleName.
 Во вкладке обзор нам необходимо значение ID объекта(url), перейдя по данному url скачиваются файл с метаданными HostVM VDI.
Настройка IDP
Скопируем в папку с утилитой SAML4.2.0-MetadataUtils-win-x64\ImportMetadata.exe полученные метаданные HostVM VDI и запустим через powershell и на запросе “SAML metadata file or URL to import:” нужно указать полученные метаданные.
 Получаем файл saml.json с настройками IDP
 На сервере IDP необходимо установить сертификат example.crt , генерируемый ранее. Расположение хранилища “Локальный компьютер”, поместить все сертификаты в следующее хранилище “Личное”. Настраиваем конфигурационный файл IDP C:\inetpub\wwwroot\am\idp\app-settings.json. В секции SAML добавляем настройки из файла saml.json полученного ранее. А также Thumbprint сертификата example.crt. Обязательно соблюдаем форматирование конфигурационного файла.
 В секции LoginFormats добавляем
 В секции CustomAttributes добавляем передаваемые атрибуты
 Сохраняем конфигурационный файл и перезапускаем IDP
Проверяем вход по аутентификатору SAML
Переходим на страницу входа HostVM VDI и в аутентификаторах выбираем SAML
 Происходит редирект на страницу входа IDP. В котором необходимо авторизоваться


|