Настройка SSO Active Directory

Вы можете настроить возможность аутентификации в личный кабинет, а также регистрации и участия в курсах и вебинарах только с учетных записей Active Directory Federation System.

Инструкции для других провайдеров идентификации:

• Google Workspace

• Azure Active Directory

• Workspace ONE Access

Шаг 1. Введение данных от провайдера SSO

Перед настройкой убедитесь, что Ваш провайдер поддерживает протокол SAML.

1. Выберите тип SSO:

   • Откройте страницу настроек SSO

   • Выберите нужного провайдера Active Directory (AD):

   

2. Скопируйте Идентификатор объекта в AD.
   Он находится в разделе Edit federation services properties:

   
   

3. Добавьте идентификатор в строку Идентификатор объекта (Identity Provider (idP) Entity ID) настроек SSO

   

4. В AD, раздел Endpoints, скопируйте URL.
   В этом разделе у вас будет список (на скриншоте он замазан белым, в середине). Нужно выбрать (обычно первая строка сверху) с типом SAML:

   

5. Скопируйте конечный путь (например, adfs/ls) и добавьте его в строку URL Системы одного входа настроек SSO:

   

   Примечание! URL формируется на основе Идентификатора.
   Например, Идентификатор имеет вид https://xxxxxxxx/adfs/services/trust.
   С учетом скопированного в пункте 6, URL будет иметь вид https://xxxxxxxxx/adfs/ls.

   

6. Скопируйте Сертификат в раздел Certificate.
   Как это сделать?

   • В AD найдите сертификат из раздела Token Signing и дважды кликните по нему:

     

   • Во вкладке Details. выбирите thumbnails, дважды кликнув на него:

     

   • Сохраните сертификат, нажав Copy to File. (В открывшемся окне импорта выберите B-64):

     
     
     
   • 

8. Скопируйте сертификат в строку Сертификат настроек SSO.
Для этого откройте сертификат через текстовый редактор и ПОЛНОСТЬЮ скопируйте весь текст

Шаг 2. Введение информации в провайдер SSO

1. Копируем идентификатор и URL ACS от платформы автоматически. Копируем URL ACS.

   

2. Возвращаемся в AD и переходим в Add Relying Party Trust:

   

3. Выбираем claim aware:

   

4. Выбираем Enter data:

   

5. Вводим любое название:

   

6. В следующем окне ничего не выбираем. Нажимаем Next:

   

7. Скопированный URL ACS из ЛК в Webinar вставляем, выбрав SAML:

   

8. Далее копируем Идентификатор объекта в ЛК в Webinar на странице https://events.webinar.ru/business/sso-settings.

9. Вставляем Идентификатор объекта в следующем диалоговом окне:

   

10. В следующем окне администратор AD сам выбирает права. И нажимает Next:

    

11. В следующем окне, как правило менять ничего не надо. Можно проверить, чтобы во вкладке Advanced был выбран SHA 256:

    

12. Далее в следующем окне должна стоять галочка, нажимаем Next:

    

13. Нажимаем Add a rule:

    

14. Должно быть выбрано Send LDAP. Нажимаем Далее:

    

15. Пишем любое название, выбираем Active directory. И email address преобразуется в email address. Нажимаем Finish:

    

    *Если в числе прочего необходимо передавать значение Фамилии и Имени (например, для регистрации по SSO в Организацию), то необходимо указать на данном шаге параметры Display-Name=firstName и Surname=secondName). Внимание! Вместо параметров Display-Name и Surname вы можете выбрать те, которые используются внутри вашей провайдера и содержат в себе значение Фамилия и Имя.
    

16. Добавляем еще одно правило Add a rule:

    

17. Выбираем Transform an Incoming Claim:

    

18. Указываем имя, добавляем параметры: E-mail Address и Name ID (это очень важно!), а также Email. Нажимаем Finish:

    

19. Далее Apply и OK:

    

Настройка на стороне AD FS завершена.

Шаг 3. Подтверждение домена

Подтверждение необходимо, чтобы никто, кроме вас, не мог использовать ваш домен для системы Singe Sign On (SSO) в Webinar. Подробно этот процесс описан в статье.

Внимание! Без подтверждённого домена функционал работать не будет.

Шаг 4. Завершение настройки на стороне Webinar

После успешного подтверждения домена вам необходимо выбрать, как именно вы будете использовать систему SSO:

• Использовать SSO для входа в личный кабинет.

  Сотрудники вашей компании смогут войти в личный кабинет с помощью SSO без дополнительной регистрации на платформе. При первом входе будет произведена автоматическая регистрация, добавление в "Организацию" и подключение к тарифному плану вашей компании. Если на момент первого входа через SSO у данного email будет найдена существующая учетная запись, то пользователь также будет присоединён к организации, а все его данные останутся без изменений.

  Внимание, все аккаунты, присоединённые к организации, кроме её владельца, потеряют возможность аутентификации в личный кабинет с помощью обычного пароля т.е. вход станет возможен только с использованием SSO.

• Использовать SSO для ограничения доступа к курсам и вебинарам

  Вход на курсы и вебинары, созданные аккаунтом, принадлежащим к вашей "Организации", будет возможен только с использованием SSO. Вы можете включить эту опцию для всех или только для выбранных сотрудников из списка.

  

Описание процесса входа в личный кабинет с помощью SSO

Для входа в личный кабинет через SSO на странице аутентификации на платформу необходимо выбрать "Войти через SSO"

На следующей странице необходимо ввести корпоративный email

После чего пользователь будет перенаправлен на страницу провайдера идентификации и в случае успешной комбинации логина и пароля возвращён в личный кабинет на платформу Webinar.

Описание процесса входа на курс/вебинар с помощью SSO

После активации настройки, при входе на курс или вебинар, участники будут видеть предложение зарегистрироваться с помощью аккаунта Google

Дополнительные данные

В качестве необязательной надстройки можно использовать добавление Сертификата:

Для того чтобы провайдер идентификации подписывал ответ необходимо выполнить команду:

set-adfsrelyingpartytrust -SamlResponseSignature MessageOnly