Предусловие:

• Установленный и настроенный Indeed AM.
• Настроенный компонент Indeed AM Identity Provider.
• Установленный и настроенный CyberArk.

Настройка CyberArk

Настройка на стороне сервера

1. Открываем C:\inetpub\wwwroot\PasswordVault\saml.config (если его нет, копируем и переименовываем saml.config.template)

2. ServiceProvider Name="http(s)://cyberark_dns/PasswordVault/v10/logon/saml" (может отличаться от версии к версии).
PartnerIdentityProvider Name="urn:indeedid:saml_idp"
SingleSignOnServiceUrl="https://indeed_idp_dns/am/idp/Account/SsoService"
Certificate String="*Скопировать сертификат idp в формате Base64*"

3. В C:\inetpub\wwwroot\PasswordVault\Web.config, в теге appSettings, добавляем: add key="EnableIdPInitiatedSso" value="yes".

Настройка в PVWA

1. Открываем Configuration Options > LDAP Integration > LDAP > Profiles > MicrosoftADProfile и задаём UserLogonName = userPrincipalName.

2. Добавляем адрес IDP в разрешенные: Configuration Options > Options > PIM Suite Configuration > Access Restriction и добавляем значение со следующими параметрами:

• BaseUrl = "http(s)://indeed_idp_dns/am/idp*"
• RegularExpression = "Yes".
  

3. Перейдите в Configuration Options > Options > Authentication Methods > saml и задайте:

• Enabled = yes
• LogoffUrl = http(s)://indeed_idp_dns/am/idp/Account/Logout

Настройка Indeed AM Identity Provider

1. Переходим на машину с установленным Indeed AM Identity Provider

2. Открываем C:\inetpub\wwwroot\am\idp\app-settings.json

3. В теге LoginFormats задаем новый ServiceProvider:

4. В SAML > Configurations задаем новый блок для CyberArk. По умолчанию все параметры false. Подробнее о параметрах можно посмотреть по ссылке.

5. Перезапускаем пул IDP.

После этого можно входить в CyberArk через SAML.