Все коллекции
Управление личным кабинетом и организацией
SSO (Single Sign-On) в МТС Линк
Настройка SSO провайдера Active Directory Federation Services
Настройка SSO провайдера Active Directory Federation Services
Обновлено больше недели назад

Вы можете настроить возможность аутентификации в личный кабинет, а также регистрации и участия в курсах и вебинарах только с учетных записей Active Directory Federation Services (ADFS).

Инструкции для других провайдеров идентификации:

Преимущества использования:

  • Не нужно создавать отдельные учётные записи для организаторов мероприятий. Создание личного кабинета, присоединение к Организации и распределение доступного тарифа осуществляется автоматически во время первого входа в личный кабинет с помощью SSO.

  • При добавлении нового сотрудника он сразу может приступать к прохождению адаптационных курсов, а при увольнении достаточно отключить его учетную запись в Active Directory Federation Services, и доступ ко всем учебным материалам будет ограничен.

  • Не нужно отдельно создавать учетную запись Линк Курсы для участия в курсах и запоминать логин/пароль, т.к. вход осуществляется по одной кнопке.

Шаг 1. Введение данных от провайдера SSO

Перед настройкой убедитесь, что ваш провайдер поддерживает протокол SAML.

  1. В личном кабинете в разделе "Настройки SSO" выберите провайдер Active Directory:

  2. В окне настроек ADFS cкопируйте параметр "Federation Service ID", который находится в разделе "Edit Federation Services Properties":

  3. Добавьте идентификатор в строку "Идентификатор объекта (Identity Provider (idP) Entity ID)" в настройках SSO на стороне МТС Линк:

  4. В окне настроек ADFS, в разделе Service - Endpoints скопируйте URL Sign-in и URL Sign-out. Нужно выбрать (обычно первые строки сверху) значения с типом SAML 2.0:

  5. Скопированные значения вставьте в настройках SSO МТС Линк в строки "URL Системы одного входа" и "URL Системы одного выхода" соответственно:

    Примечание. URL формируется на основе Идентификатора.
    Например, Идентификатор имеет вид https://xxxxxxxx/adfs/services/trust.
    С учетом скопированного в пункте 6, URL будет иметь вид https://xxxxxxxxx/adfs/ls.

  6. В окне настроек ADFS, в разделе Service - Certificates - Token Signing найдите сертификат и дважды кликните по нему:

    Во вкладке Details дважды кликните по Thumbnails и нажмите на кнопку "Next" в открывшемся окне. Далее сохраните сертификат, нажав на "Copy to File". В открывшемся окне импорта выберите "Base-64", а в следующем окне задайте имя для файла сертификата и укажите путь для его сохранения:

  7. Откройте сертификат через текстовый редактор и ПОЛНОСТЬЮ скопируйте весь текст в строку "Сертификат" в настройках SSO МТС Линк:

Шаг 2. Введение данных в провайдер SSO

  1. Скопируйте Идентификатор и URL ACS:

  2. Вернитесь в окно ADFS и перейдите в Relying Party Trusts - Add Relying Party Trust:

  3. В открывшемся окне выберите "Claim aware" и нажмите на кнопку "Start":

  4. Выберите "Enter data about the relying party manually" и нажмите "Next":

  5. Введите любое название в поле "Display name" и нажмите "Next":

  6. В следующем окне ничего не выбирайте. Нажмите "Next":

  7. Выберите SAML 2.0, ниже вставьте скопированный URL ACS из ЛК МТС Линк и нажмите "Next":

  8. Далее скопируйте Идентификатор объекта в ЛК МТС Линк и вставьте его в следующем диалоговом окне, после чего нажмите "Next":

  9. В следующем окне администратор ADFS сам выбирает права и нажимает "Next":

  10. В следующем окне, как правило, менять ничего не надо. Можно проверить, чтобы во вкладке Advanced был выбран SHA 256:

  11. Далее должна стоять галочка (если не стоит, поставить). Нажмите "Next":

  12. В следующем окне нажмите на "Add a rule":

  13. Проверьте, чтобы было выбрано "Send LDAP Attributes as Claims", и нажмите "Next":

  14. В поле "Claim rule name" напишите любое имя, затем выберите Active Directory (E-mail-Address появится во втором столбце, на на рисунке ниже) и нажмите "Finish":

    Примечание. Также есть возможность передавать значения Имя, Фамилия, Никнейм, Номер телефона и Должность (например, для регистрации по SSO в Организации). Для этого на данном шаге необходимо указать параметры Given-Name=firstName, Surname=secondName, Display-Name=displayName, Telephone-Number=phoneNumber и Title=title, соответственно.
    (Вместо параметров Given-Name и Surname вы можете выбрать те, которые используются внутри вашего провайдера и содержат в себе значение Имя и Фамилия.)

  15. Добавьте еще одно правило, нажав на "Add a rule", как в пункте 12.

  16. Выберите "Transform an Incoming Claim" и нажмите "Next":

  17. Укажите любое имя, добавьте параметры E-mail Address и Name ID (это очень важно!), а также Email. Нажмите "Finish":

  18. Далее "Apply" и "OK":

Настройка на стороне ADFS завершена.

Шаг 3. Подтверждение домена

Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO.

ВАЖНО: без подтвержденного домена функционал работать не будет!

Шаг 4. Завершение настройки на стороне МТС Линк

После успешного подтверждения домена вам необходимо выбрать, как именно вы будете использовать SSO:

  • Использовать SSO для входа в личный кабинет: сотрудники вашей компании смогут входить в личный кабинет с помощью SSO без дополнительной регистрации на платформе. При первом входе будет произведена автоматическая регистрация, добавление в Организацию и подключение к тарифному плану вашей компании. Если на момент первого входа через SSO у данного E-mail будет найдена существующая учетная запись, то пользователь также будет присоединен к Организации, а все его данные останутся без изменений.

    ВАЖНО! Все аккаунты, присоединенные к Организации, кроме ее владельца, потеряют возможность аутентификации в личный кабинет с помощью обычного пароля, т.е. вход станет возможен только с использованием SSO.

  • Использовать SSO для ограничения доступа к курсам и вебинарам: вход на курсы и вебинары, созданные аккаунтом, принадлежащим к вашей Организации, будет возможен только с использованием SSO. Вы можете включить эту опцию для всех или только для выбранных сотрудников из списка:

Описание процесса входа в личный кабинет с помощью SSO

На странице входа выберите "Войти через SSO":

Далее введите корпоративную почту и нажмите "Продолжить":

После после этого вы будете перенаправлены на страницу провайдера идентификации. В случае успешной комбинации логина и пароля будет произведен вход в личный кабинет платформы МТС Линк.

Описание процесса входа на курс/вебинар с помощью SSO

При входе на курс или вебинар участники будут видеть предложение зарегистрироваться с помощью аккаунта Google:

Дополнительные данные

В качестве необязательной надстройки можно использовать добавление Сертификата:

Для того чтобы провайдер идентификации подписывал ответ необходимо выполнить команду:

Set-AdfsRelyingPartyTrust -targetname "WEBINAR" -SamlResponseSignature MessageAndAssertion

Нашли ответ на свой вопрос?