База знаний
6С чего начать? 31Indeed Privileged Access Manager 71Indeed Certificate Manager 172Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам
База знаний: Indeed Access Manager 7 > Установка и настройка > Установка и настройка модулей расширений для EA 7.0
Инструкция по установке ADFS Extension для EA Server 7.0
Автор Vladislav Fomichev, Last modified by Anton Shlykov на 16 февраля 2019 10:58 AM

Предварительные условия.

В данном руководстве подразумевается что у Вас уже есть установленный Центр сертификации Microsoft и развернутая система Indeed-Id 7.0.

Создание сервисной учетной записи.

На контроллере домена необходимо создать сервисную учетную запись (gMSA):

  • Открываем PowerShell с правами администратора и вводим команды:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName

Вместо YouDnsHostName укажите полное имя своей машины, в данном примере используется adfs.indeed-id.local




Получение SSL сертификат для ADFS.

  1. Откройте локальный центр сертификации. (Win+R -> certsrv.msc).
  2. Создайте дубликат шаблона сертификата: “Веб-сервер”.
    1. Откройте консоль шаблонов сертификатов. (Правая кнопка мыши по “Шаблоны сертификата” -> “Управление”).
      1. Создать дубликат шаблона “Веб-сервер”. (Правая кнопка мыши по “Веб-сервер” -> “Скопировать шаблон”).
        1. Укажите имя для шаблона и установите значение “Заявка” для группы “Прошедшие проверку”.
          1. На вкладке “Обработка запроса” включите параметр “Разрешить экспортировать закрытый ключ”.
          2. Включите созданный шаблон. (Правая кнопка мыши по “Шаблоны сертификата” -> “Создать” -> “Выдаваемый шаблон сертификата”).
        2. Создайте запрос сертификата на сервере ADFS.
          1. Откройте оснастку “Сертификаты”.
          2. Запросите сертификат.
          3. Выберите созданный сертификат.
          4. На вкладке “Субъект” в поле “Имя субъекта” укажите тип “Общее имя” в значение укажите имя вашего сервера ADFS.
          5. Выполнить заявку сертификата.

        Экспорт сертификата.

        1. Экспортируйте сертификат. (Правая кнопка мыши по необходимому сертификату -> Все задачи -> Экспорт).
        2. Выберите “Экспортировать закрытый ключ”.
        3. Выберите “Экспортировать все расширенные свойства”.
        4. Укажите пароль с которым будет выгружен сертификат.
        5. Укажите путь и имя сертификата.
        6. Выполните экспорт.

        Установка и настройка.

        1. Установить роль “Службы федерации AD” на отдельном сервере.
        Настройка роли ADFS.
        1. Откройте мастер настройки службы федерации.
        2. Укажите учетную запись с правами Администратора.
        3. Для шифрования службы AD FS необходимо импортировать сертификат созданный ранее в Центре сертификации.
        4. Укажите пароль, заданный при экспорте.
        5. Выберите сервисную учетную запись, созданную ранее.
        6. Все следующие настройки оставьте по умолчанию и завершите настройку.

        Проверка входа в ADFS.

        1. Проверить настройку можно через стандартную страницу ADFS: IdpInitiatedSignon. Для этого используйте URL: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
        2. Нажмите “Вход”.
        3. Укажите доменный логин и пароль.
        4. После успешного ввода данных, ADFS сообщит что вход выполнен.

        Установка и настройка ADFS Extension.

        1. Запустите мастер установки ADFS Extension. IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi (indeed EA 7.0\Indeed ADFS Extension\1.0.2).
        2. Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры.

          {

          "ServerType":"eaNet",

          "EANetServerURL":"http://YourDomainName/easerver/",

          "ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}",

          "LSUrl":"http://YourDomainName/ils/api",

          "LSEventCacheDirectory": "C:\\EventCacheEa\\"

          }

          ModeId может иметь разные ID провайдеров:

          {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

          {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

          {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

          {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - GoogleOTP


        3. Запустите PowerShell с правами администратора. Введите следующие данные (YourPatch\MFAAdapter.json - укажите полный путь к конфигурационному файлу):

          $typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.0.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91"

          Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath ‘YourPatch\MFAAdapter.json

          Для удаления адаптера необходимо выполнить следующую команду:

          Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"


        Включение многофакторной аутентификации для ADFS.

        1. Откройте консоль управления AD FS.
        2. Добавьте пользователя/группу и включите следующие параметры.

        Проверка многофакторной аутентификации ADFS.

        1. Откройте тестовую страницу ADFS: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
        2. Выполните вход.
        3. Укажите данные для второго фактора.
        4. После корректного ввода данных будет выполнен вход.
        (4 голос(а))
        Эта статья полезна
        Эта статья бесполезна
        Комментарии (0)
        Портал технической поддержки компании Индид