Публикация Mobile Device Provisioning (MDP) при помощи Application Request Routing (ARR)

База знаний

6С чего начать? 32Indeed Privileged Access Manager 71Indeed Certificate Manager 172Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам

База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами

Автор Denis Dmitriev, Last modified by Denis Dmitriev на 25 октября 2024 03:45 PM

Предварительные условия:

Настроенный сервер АМ - indeedam.indeed.local
Развернут сервер userportal в DMZ зоне с настроенными компонентами UC, IDP и доступен с сервера АМ и из интернета по dns имени - userportal.indeed.com.

Установка и настройка MDP:

Создание сервисной УЗ в Active Directory

Создаем в AD учетную запись с правами на чтение атрибутов, которая будет использоваться для взаимодействия Exchange с AD, например Mail Admin.
Установка компонента и настройка IIS

Установка выполняется на сервере indeedam.indeed.local.
Файл для установки IndeedAM.MobileDevProv-<номер версии>.x64.ru-ru.msi расположены в директории indeed AM <номер версии>/Indeed AM Mobile Device Provisioning/<номер версии>.
По завершении установки будет предложено сгенерировать новый сертификат IDP. Сертификат необходим для аутентификации в сервис через Identity Provider.

Настройка IIS
После установки сервиса нужно добавить сервисную УЗ в удостоверение пула приложений в IIS и выставить параметр Загрузить профиль пользователя в значение true, а также выставить параметр Версия среды CLR .NET в значение Без управляемого кода.
- Добавление УЗ в удостоверение пула приложений в IIS и выставление параметра Загрузить профиль пользователя в значение True:
  - Откройте оснастку Internet Information Services;
  - В меню слева разверните узел, соответствующий серверу Indeed Access Manager;
  - Выберите Пулы приложений;
  - В списке выберите IndeedAM.MDP;
  - В открывшемся меню справа выберите Дополнительные параметры;
  - В открывшемся окне Дополнительные параметры выберите Удостоверение и нажмите на значок с тремя точками;
  - В открывшемся окне Удостоверение пула приложений выберите Особая учетная запись и установите созданную сервисную запись Active Directory;
  - Нажмите ОК. Окно Удостоверение пула приложений закроется;
  - В окне Дополнительные параметры выберите Загрузить профиль пользователя и в выпадающем списке выберите значение True;
  - Сохраните изменения.
- Выставление параметра Версия среды CLR .NET в значение Без управляемого кода
  - Откройте оснастку Internet Information Services;
  - В меню слева разверните узел, соответствующий серверу Indeed Access Manager;
  - Выберите Пулы приложений;
  - В списке выберите IndeedAM.MDP;
  - В открывшемся меню справа выберите Основные настройки;
  - Разверните выпадающий список для параметра Версия среды CLR .NET и выберите значение Без управляемого кода;
  - Нажмите ОК.
Редактирование конфигурационных файлов
- Редактирование конфигурационного файла UC на сервере userportal.indeed.com:
  - Откройте конфигурационный файл web.config, который находится в директории C:\inetpub\wwwroot\am\uc;
  - В секцию configSections добавьте строку: section name="amMobileDeviceProvisioning" type="IndeedID.Web.SelfService.Settings.MobileDeviceProvisioningSettings";
  - В строке amMobileDeviceProvisioning isEnabled="false" url="MOBILE_DEVICE_PROVISIONING_URL/device/embed", в параметре isEnabled укажите значение true (чтобы настроить отображение вкладки в UC), в параметре url нужно указать адрес опубликованного сервера userportal.indeed.com;
- Редактирование конфигурационного файла MDP:
  - Откройте конфигурационный файл app-settings.json, который находится в директории C:\inetpub\wwwroot\am\mdp;
  - В секции Exchange, в параметре ServerUrl нужно указать адрес ExchangeServer в формате http(s)://полное_dns_имя_сервера/Powershell;
  - В секции Server, в параметр URL указать адрес LogServer в формате http(s)://полное_dns_имя_сервера/ls/api/;
    
    При работе с сервисом подготовки мобильных устройств Log Server записывает следующие события:
    - пользователь успешно вывел мобильное устройство из карантина;
    - не удалось вывести мобильное устройство из карантина;
    - пользователь заблокировал мобильное устройство;
    - не удалось заблокировать мобильное устройство.
  - В секции SAML/LocalServiceProviderConfigyration, в параметре Thumbprint требуется указать отпечаток сертификата MDP.
    
    В секции SAML/PartnerIdentityProviderConfigurations в параметрах SingleSignOnServiceUrl и SingleLogoutServiceUrl указать URL опубликованного сервиса IDP в формате http(s)://полное_dns_имя_сервера/am/idp/Account/SsoService и https:// полное_dns_имя_сервера/am/idp/Account/SloService;
    В параметре Thumbprint требуется указать отпечаток сертификата IDP;
- Редактирование конфигурационного файла IDP на сервере userportal.indeed.com:
  - Откройте конфигурационный файл app-settings.json, который находится в директории C:\inetpub\wwwroot\am\idp;
  - В секции SAML/PartnerServiceProviderConfigurations в параметрах SingleLogoutServiceUrl указать URL опубликованного сервера userportal в формате http(s)://полное_dns_имя_сервера/am/mdp/Account/SLOService;
    В параметре Thumbprint требуется указать отпечаток сертификата MDP;
  - В секции CustomAttributes в параметре ServiceProvider указать urn сервиса и атрибуты, например:
```
	{
	        "ServiceProvider": "urn:indeedid:mobiledeviceprovisioning",
	        "Attributes": [
	          {
	            "Name": "user_name",
	            "UserNameFormat": "PrincipalName"
	          }
	        ]
	      }
```
    ВАЖНО!
    Для аутентификации в сервис подготовки мобильных устройств используется Identity Provider. Если User Console и Identity Provider находятся на разных машинах и у них разные доменные имена, то в конфигурационный файл Identity Provider web.config необходимо добавить заголовок Content-Security-Policy.
    
    Пример:
```
<customHeaders>
<add name="Content-Security-Policy" value="frame-ancestors 'self' https://*.domain.local" />
</customHeaders>
```
Настройка Exchange
- Требуется проверить URL по пути: servers - virtual directories - PowerShell - Internal URL, он должен совпадать с тем, что мы указывали в конфиге MDP;
  
  Конфигурационный файл MDP:
- Нужно создать Административную роль и задать требуемые права, а также добавить в неё сервисную УЗ;
  permissions - admin roles - new(+):
  - Название роли указываем произвольное;
  - Требуемые права:
    - Mail Recipients — необходимы для получения данных по устройствам;
    - Mailbox Search — необходимы для получения электронного адреса. Если этих прав не будет, то под сервисной учетной записью можно будет получить только свой электронный адрес;
    - Organization Client Access — необходимы для предоставления доступа к устройству и для блокировки.
  - УЗ добавляем сервисную, ранее созданную в AD;
Лицензирование

Для работы с MDP требуется лицензия, при авторизации в сервис происходит её захват.

Установка и настройка Application-Request-Routing:

На сервер userportal устанавливаем службы ARR и URL Rewriter. Скачать их можно с официального сайта Microsoft:
ARR - https://www.microsoft.com/en-us/download/details.aspx?id=47333
URL Rewriter - https://www.iis.net/downloads/microsoft/url-rewrite

Открываем IIS и переходим в раздел "Application Request Routing Cache".
Выбираем пункт "Server Proxy Settings".
Включить"Enable Proxy" и выключить "Enable disk chache".
Далее, создаем Server Farm задав название и указав сервер AM в качестве "Server address". После сохранения IIS предложит создать правило для данного сервера - соглашаемся.
Переходим в URL Rewriter и выбираем созданное правило.
Устанавливаем шаблон "*am/mdp*" и меняем схему на https
Перезагружаем службу IIS и проверяем работу MDP в консоли UC по внешнему имени https://userportal.indeed.com/am/uc или обращаясь напрямую к модулю MDP - https://userportal.indeed.com/am/mdp.

(3 голос(а))

Эта статья полезна

Эта статья бесполезна

Комментарии (0)

Портал технической поддержки компании Индид