Категории

Настройка SSO (SAML) c Azure AD

Содержание

Настройка на стороне Azure

1. Выбираем сервис Azure Active Directory:

azure_1.png

2. Выбираем Enterprise application:

azure_2.png

3. Создаем новое приложение:

azure_3.png

4. Выбираем Non-gallery application, вводим название нашего приложения, например Teachbase SSO, нажимаем Add:

azure_4.png

5. Выбираем раздел Users and groups и добавляем пользователя Add user:

azure_5.png

6. Ищем пользователя и добавляем Select и далее Assign:

azure_6.png

7. Переходим в раздел Single sign-on:

azure_8.png

8. Выбираем метод SAML:

azure_9.png

9. В разделе Basic SAML Configuration редактируем конфигурацию SAML:

azure_10.png

10. Указываем Идентификатор сущности, URL-адрес службы обработчика утверждений и Состояние ретранслятора. См. таблицу ниже. Вместо test.teachbase.ru укажите свой адрес в Teachbase.

azure_11.png

Базовая конфигурация SAML

Параметр Значение
Identifier (Entity ID) https://test.teachbase.ru/auth/sso/saml/metadata
Reply URL (Assertion Consumer Service URL) https://test.teachbase.ru/auth/sso/saml/acs
Relay State https://test.teachbase.ru/login

11. Сохраняемся. Далее переходим в радел User Attributes & Claims. Нажимаем на иконку редактирования:

azure_12.png

12. Редактируем Name identifier value (NameID):

azure_13.png

13. Для уникального идентификатора пользователя в качестве источника Sourse attribute указываем user.mail. Сохраняемся:

azure_14.png

14. Удаляем claim emailaddress. Добавляем новый claim:

azure_19.png

15. Указываем в качестве имени email выбираем в качестве источника user.mail. Сохраняемся:

azure_20.png

16. Переходим в раздел SAML Signing Certificate, нажимаем иконку редактирования:

azure_16.png

17. Изменяем Signing Algorithm на SHA-1. Сохраняемся:

azure_17.png

18. Пронумерованные параметры понадобятся нам для настройки SSO на стороне Teachbase:

azure_18.png

Настройка на стороне Teachbase

1. В аккаунте Teachbase переходим в профиль. Указываем Идентификатор сущности, URL-адрес службы обработчика утверждений и Состояние ретранслятора. См. таблицу ниже. Вместо test.teachbase.ru укажите свой адрес пользователя. Далее переходим в раздел Настройка аккаунта и нажимаем Редактировать:tb_1.png

2. Спускаемся до раздела Configure SAML Settings for Single Sign-On:

tb_2.png

3. Заполняем поля согласно п. 18

Metadata Url Azure AD Identifier
Sign In Url Login URL
Logout Url Logout URL
Certificate Fingerprint Thumbprint
Email Attr email

14. Сохраняемся. Переходим в раздел Пользователи. Устанавливаем пользователю параметр Аутентификация на ADFS / Azure AD (SAML) и нажимаем Готово.

img-2019-03-20-17-52-25.png

15. Переходим на страницу https://<Ваш поддомен>.teachbase.ru/login и выбираем Войти через корпоративные системы.