База знаний: Indeed Access Manager 7 > Установка и настройка > Установка и настройка модулей расширений для EA 7.0
Инструкция по установке ADFS Extension для EA Server 7.0
Автор Vladislav Fomichev, Last modified by Anton Shlykov на 16 февраля 2019 10:58 AM

Предварительные условия.

В данном руководстве подразумевается что у Вас уже есть установленный Центр сертификации Microsoft и развернутая система Indeed-Id 7.0.

Создание сервисной учетной записи.

На контроллере домена необходимо создать сервисную учетную запись (gMSA):

  • Открываем PowerShell с правами администратора и вводим команды:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName

Вместо YouDnsHostName укажите полное имя своей машины, в данном примере используется adfs.indeed-id.local




Получение SSL сертификат для ADFS.

  1. Откройте локальный центр сертификации. (Win+R -> certsrv.msc).
  2. Создайте дубликат шаблона сертификата: “Веб-сервер”.
    1. Откройте консоль шаблонов сертификатов. (Правая кнопка мыши по “Шаблоны сертификата” -> “Управление”).
      1. Создать дубликат шаблона “Веб-сервер”. (Правая кнопка мыши по “Веб-сервер” -> “Скопировать шаблон”).
        1. Укажите имя для шаблона и установите значение “Заявка” для группы “Прошедшие проверку”.
          1. На вкладке “Обработка запроса” включите параметр “Разрешить экспортировать закрытый ключ”.
          2. Включите созданный шаблон. (Правая кнопка мыши по “Шаблоны сертификата” -> “Создать” -> “Выдаваемый шаблон сертификата”).
        2. Создайте запрос сертификата на сервере ADFS.
          1. Откройте оснастку “Сертификаты”.
          2. Запросите сертификат.
          3. Выберите созданный сертификат.
          4. На вкладке “Субъект” в поле “Имя субъекта” укажите тип “Общее имя” в значение укажите имя вашего сервера ADFS.
          5. Выполнить заявку сертификата.

        Экспорт сертификата.

        1. Экспортируйте сертификат. (Правая кнопка мыши по необходимому сертификату -> Все задачи -> Экспорт).
        2. Выберите “Экспортировать закрытый ключ”.
        3. Выберите “Экспортировать все расширенные свойства”.
        4. Укажите пароль с которым будет выгружен сертификат.
        5. Укажите путь и имя сертификата.
        6. Выполните экспорт.

        Установка и настройка.

        1. Установить роль “Службы федерации AD” на отдельном сервере.
        Настройка роли ADFS.
        1. Откройте мастер настройки службы федерации.
        2. Укажите учетную запись с правами Администратора.
        3. Для шифрования службы AD FS необходимо импортировать сертификат созданный ранее в Центре сертификации.
        4. Укажите пароль, заданный при экспорте.
        5. Выберите сервисную учетную запись, созданную ранее.
        6. Все следующие настройки оставьте по умолчанию и завершите настройку.

        Проверка входа в ADFS.

        1. Проверить настройку можно через стандартную страницу ADFS: IdpInitiatedSignon. Для этого используйте URL: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
        2. Нажмите “Вход”.
        3. Укажите доменный логин и пароль.
        4. После успешного ввода данных, ADFS сообщит что вход выполнен.

        Установка и настройка ADFS Extension.

        1. Запустите мастер установки ADFS Extension. IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi (indeed EA 7.0\Indeed ADFS Extension\1.0.2).
        2. Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры.

          {

          "ServerType":"eaNet",

          "EANetServerURL":"http://YourDomainName/easerver/",

          "ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}",

          "LSUrl":"http://YourDomainName/ils/api",

          "LSEventCacheDirectory": "C:\\EventCacheEa\\"

          }

          ModeId может иметь разные ID провайдеров:

          {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

          {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

          {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

          {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - GoogleOTP


        3. Запустите PowerShell с правами администратора. Введите следующие данные (YourPatch\MFAAdapter.json - укажите полный путь к конфигурационному файлу):

          $typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.0.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91"

          Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath ‘YourPatch\MFAAdapter.json

          Для удаления адаптера необходимо выполнить следующую команду:

          Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"


        Включение многофакторной аутентификации для ADFS.

        1. Откройте консоль управления AD FS.
        2. Добавьте пользователя/группу и включите следующие параметры.

        Проверка многофакторной аутентификации ADFS.

        1. Откройте тестовую страницу ADFS: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
        2. Выполните вход.
        3. Укажите данные для второго фактора.
        4. После корректного ввода данных будет выполнен вход.
        (5 голос(а))
        Эта статья полезна
        Эта статья бесполезна