Предварительные условия.
В данном руководстве подразумевается что у Вас уже есть установленный Центр сертификации Microsoft и развернутая система Indeed-Id 7.0.
Создание сервисной учетной записи.
На контроллере домена необходимо создать сервисную учетную запись (gMSA):
- Открываем PowerShell с правами администратора и вводим команды:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName
Вместо YouDnsHostName укажите полное имя своей машины, в данном примере используется adfs.indeed-id.local.
![](https://support.indeed-id.ru/__swift/files/1542020172d0378c92d1f0f20b19c79337066ef10fe7ab70bb.png)
![](https://support.indeed-id.ru/__swift/files/15420201988d8b17bee4be5b6089f12a7770e930ce46922434.png)
Получение SSL сертификат для ADFS.
- Откройте локальный центр сертификации. (Win+R -> certsrv.msc).
![](https://support.indeed-id.ru/__swift/files/15420238368ec53d44639c1a52397c3502e4eff1ff7683a689.png)
- Создайте дубликат шаблона сертификата: “Веб-сервер”.
- Откройте консоль шаблонов сертификатов. (Правая кнопка мыши по “Шаблоны сертификата” -> “Управление”).
- Создать дубликат шаблона “Веб-сервер”. (Правая кнопка мыши по “Веб-сервер” -> “Скопировать шаблон”).
- Укажите имя для шаблона и установите значение “Заявка” для группы “Прошедшие проверку”.
![](https://support.indeed-id.ru/__swift/files/154202054070341523c13f5377cfa46df2fe0c1f108ff76399.png)
- На вкладке “Обработка запроса” включите параметр “Разрешить экспортировать закрытый ключ”.
![](https://support.indeed-id.ru/__swift/files/1542020653c89e49a42f6ca55ebbd0c9c9a3f2a50bee7d5f16.png)
- Включите созданный шаблон. (Правая кнопка мыши по “Шаблоны сертификата” -> “Создать” -> “Выдаваемый шаблон сертификата”).
![](https://support.indeed-id.ru/__swift/files/15420206906b6f39d5bbc8bb50e23276a6497d1b64b7340dcd.png)
- Создайте запрос сертификата на сервере ADFS.
- Откройте оснастку “Сертификаты”.
- Запросите сертификат.
![](https://support.indeed-id.ru/__swift/files/1542020738d33d99491f861eeceb4e3e80ef6b5729dcda5504.png)
- Выберите созданный сертификат.
![](https://support.indeed-id.ru/__swift/files/154202077339958714e460124e3c124ac5ec7575a394eeb6af.png)
- На вкладке “Субъект” в поле “Имя субъекта” укажите тип “Общее имя” в значение укажите имя вашего сервера ADFS.
![](https://support.indeed-id.ru/__swift/files/15420208394fc5c55a55e28199f9b0740d6cd15d23f9a88fba.png) ![](https://support.indeed-id.ru/__swift/files/15420208691cc79ee3793e5b0effe6e8393c17fb7f944cc3bf.png)
- Выполнить заявку сертификата.
![](https://support.indeed-id.ru/__swift/files/1542020923b7a9b5ffa70dcc8d3941ac5a4781007cecb414fe.png) ![](https://support.indeed-id.ru/__swift/files/1542020945b5029b6d151b9c5cbd6f5c8eb01666bd0cf1d078.png)
Экспорт сертификата.
- Экспортируйте сертификат. (Правая кнопка мыши по необходимому сертификату -> Все задачи -> Экспорт).
![](https://support.indeed-id.ru/__swift/files/1542021357a340f8a2419f934ff7acf9e36745d6e11880d6de.png)
- Выберите “Экспортировать закрытый ключ”.
![](https://support.indeed-id.ru/__swift/files/154202139967ee14860b0ca5b298f40734aeb1053d0133acea.png)
- Выберите “Экспортировать все расширенные свойства”.
![](https://support.indeed-id.ru/__swift/files/1542021441705cb7aa83c397d3cb5a40addd412b195f55c359.png)
- Укажите пароль с которым будет выгружен сертификат.
![](https://support.indeed-id.ru/__swift/files/1542021470920dba3c7b2dacc394a016b29dc8d3e474f31009.png)
- Укажите путь и имя сертификата.
![](https://support.indeed-id.ru/__swift/files/15420215185c34f7373f428e06ffd50bfc08dbfcbbdffd9bae.png)
- Выполните экспорт.
![](https://support.indeed-id.ru/__swift/files/154202157752b4e89dcddecdc67e4c6b97d122c7715cdad234.png)
Установка и настройка.
- Установить роль “Службы федерации AD” на отдельном сервере.
![](https://support.indeed-id.ru/__swift/files/15420239805dbd2fbe4e105ed55303e4e3ddde8fb0795c1813.png)
Настройка роли ADFS.
- Откройте мастер настройки службы федерации.
![](https://support.indeed-id.ru/__swift/files/1542022334002c4de1da009621f1d29a5877ed00c676518b67.png) ![](https://support.indeed-id.ru/__swift/files/15420223711fd4af7c4a459684fdaaf8b54c1afcd9e541bd42.png)
- Укажите учетную запись с правами Администратора.
![](https://support.indeed-id.ru/__swift/files/154202240006a59dca0c270444d3028037522265a3c4c1229f.png)
- Для шифрования службы AD FS необходимо импортировать сертификат созданный ранее в Центре сертификации.
![](https://support.indeed-id.ru/__swift/files/1542022442a4d1b0475fd15c0a9405ea01ae3ddd46596668cb.png) ![](https://support.indeed-id.ru/__swift/files/1542022488115774d0218b096c8db49e030bb3881715a93695.png)
- Укажите пароль, заданный при экспорте.
![](https://support.indeed-id.ru/__swift/files/1542022472557b4f66c9223ee0ccd0e28aa982401086fd3090.png) ![](https://support.indeed-id.ru/__swift/files/154202252214b16f92e754f5a0d555ef522d694c14d5ef9489.png)
- Выберите сервисную учетную запись, созданную ранее.
![](https://support.indeed-id.ru/__swift/files/1542022557b0408d20aef9068a9ff351269a145137aea8cd63.png)
- Все следующие настройки оставьте по умолчанию и завершите настройку.
Проверка входа в ADFS.
- Проверить настройку можно через стандартную страницу ADFS: IdpInitiatedSignon. Для этого используйте URL: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
- Нажмите “Вход”.
![](https://support.indeed-id.ru/__swift/files/1542022609ea758b47526f1d8647a8b0040eb59361c86d494b.png)
- Укажите доменный логин и пароль.
![](https://support.indeed-id.ru/__swift/files/15420226465bf1050c19716f2a48be77d23fce500e7184ae14.png)
- После успешного ввода данных, ADFS сообщит что вход выполнен.
![](https://support.indeed-id.ru/__swift/files/154202269960a94792f2288f13296dd30a6d42669624d82032.png)
Установка и настройка ADFS Extension.
- Запустите мастер установки ADFS Extension. IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi (indeed EA 7.0\Indeed ADFS Extension\1.0.2).
![](https://support.indeed-id.ru/__swift/files/154202309429a9761eb71b90b1cc3cb91afef082e0da4ec72b.png)
- Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры.
{
"ServerType":"eaNet",
"EANetServerURL":"http://YourDomainName/easerver/",
"ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}",
"LSUrl":"http://YourDomainName/ils/api",
"LSEventCacheDirectory": "C:\\EventCacheEa\\"
}
ModeId может иметь разные ID провайдеров:
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP
{093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP
{F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode
{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - GoogleOTP
- Запустите PowerShell с правами администратора. Введите следующие данные (YourPatch\MFAAdapter.json - укажите полный путь к конфигурационному файлу):
$typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.0.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91"
Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath ‘YourPatch\MFAAdapter.json’![](https://support.indeed-id.ru/__swift/files/15420231312cd8fa652e1d446d32424941181dfbf3a12caeb7.png)
Для удаления адаптера необходимо выполнить следующую команду:
Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"
Включение многофакторной аутентификации для ADFS.
- Откройте консоль управления AD FS.
![](https://support.indeed-id.ru/__swift/files/15420233328e8a79ca0d53bb9dd12a312c491ac311576ac34e.png)
- Добавьте пользователя/группу и включите следующие параметры.
![](https://support.indeed-id.ru/__swift/files/15420233578cac01de8929868af579d883082c2aea5b65e8d6.png)
Проверка многофакторной аутентификации ADFS.
- Откройте тестовую страницу ADFS: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
- Выполните вход.
![](https://support.indeed-id.ru/__swift/files/1542022609ea758b47526f1d8647a8b0040eb59361c86d494b.png) ![](https://support.indeed-id.ru/__swift/files/1542023520ed11393d85e10b0c56e02fcb6f21ace5786027e4.png)
- Укажите данные для второго фактора.
![](https://support.indeed-id.ru/__swift/files/1542023417f6a999d0ac5fcd251e54642162fbbe106a25d906.png)
- После корректного ввода данных будет выполнен вход.
![](https://support.indeed-id.ru/__swift/files/154202269960a94792f2288f13296dd30a6d42669624d82032.png)
|