Предварительные требования
- Установленный и настроенный Indeed AM 8.2.2 и выше
- Установленный и настроенный Indeed AM IDP (https://docs.indeed-company.ru/access-manager/8.2/integration-modules-install/idp-install/)
- Доступ к учетной записи Yandex Cloud с правом создания федерации
Создание федерации
- Перейдите в сервис Yandex Cloud Organization (https://org.cloud.yandex.ru/)
- На левой панели выберите раздел Федерации
- Нажмите кнопку Создать федерацию
- Задайте имя федерации. Имя должно быть уникальным в каталоге.
- При необходимости добавьте описание.
- В поле Время жизни cookie укажите время, в течение которого браузер не должен требовать у пользователя повторной аутентификации.
- В поле IdP Issuer укажите ссылку urn:indeedid:saml_idp.
- В поле SSO метод выберите POST.
- В поле Ссылка на страницу для входа в IdP укажите ссылку в формате https://indeed.com/am/idp/Account/SsoService, где — это FQDN вашего сервера Indeed IDP.
- Включите опцию Автоматически создавать пользователей, чтобы аутентифицированный пользователь автоматически добавлялся в организацию.
- Включить опцию Подписывать запросы аутентификации, для добавления возможности подписи запросов, посредствам сертификата (опция выгрузить сертификат Яндекса появится только после включения данной опции)
- Далее необходимо скачать сертификат Яндекса, импортировать его в Trusted Root Certification Authorities (доверенные корневые центры сертификации), экспортировать сертификат IDP в формате Base-64 (.cer) и добавить в консоль yandex.cloud.
Настройки Indeed IDP
Далее на сервере, с установленным Indeed IdP, в конфигурационном файле C:\inetpub\wwwroot\am\idp\app-settings.json нужно добавить следующие строки, где <https://console.cloud.yandex.ru/federations/idnumb123> ACS URL из настроек федерации Yandex Cloud.
<https://console.cloud.yandex.ru/federations/idnumb123> Ссылка на страницу входа в консоль из настроек федерации Yandex Cloud, должны быть заменены на отпечатки соответствующих сертификатов
"LoginFormats": [
{
"ServiceProvider": "https://console.cloud.yandex.ru/federations/idnumb123",
"InLoginFormat": "Name",
"OutLoginFormat": "PrincipalName"
},
"ServiceProvidersWithDeniedSso": [],
"CustomAttributes": [
{
"ServiceProvider": "https://console.cloud.yandex.ru/federations/idnumb123",
"Attributes": [
{
"Name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"UserNameFormat": "Email"
},
{
"Name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
"UserNameFormat": "FirstName"
},
{
"Name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
"UserNameFormat": "LastName"
}
]
}
],
{
"Name": "https://console.cloud.yandex.ru/federations/idnumb123",
"Description": "YandexCloud",
"WantAuthnRequestSigned": true,
"SignSamlResponse": true,
"EncryptAssertion": true,
"SignLogoutRequest": false,
"SignLogoutResponse": false,
"SignAssertion": true,
"WantLogoutRequestSigned": false,
"WantLogoutResponseSigned": false,
"DisableInboundLogout": false,
"DisableOutboundLogout": false,
"DisableInResponseToCheck": false,
"DisableDestinationCheck": false,
"DisablePendingLogoutCheck": false,
"LogoutRequestLifeTime": "00:03:00",
"AssertionConsumerServiceUrl": "https://console.cloud.yandex.ru/federations/idnumb123",
"ValidAssertionConsumerServiceUrls": [
"https://console.cloud.yandex.ru/federations/idnumb123"
],
"DigestAlgorithm": "http://www.w3.org/2001/04/xmlenc#sha256",
"SignatureAlgorithm": "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
"KeyEncryptionAlgorithm": "http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p",
"DataEncryptionAlgorithm": "http://www.w3.org/2001/04/xmlenc#aes256-cbc",
"UseEmbeddedCertificate": false,
"PartnerCertificates": [
{
"Thumbprint": "<сертификат Яндекса>;"
}
]
}
Пример файла конфигурации во вложении
| 
(1 голос(а))