Единый знак на (SSO) Настройка

Dotcom-Monitor поддерживает войти в систему SSO с помощью SAML 2.0.

Вот шаги, необходимые для включения SSO с активным каталогом FS (ADFS) и активным каталогом AZURE (Azure AD) в качестве поставщиков идентификации. Кроме того, предоставляются пошаговие руководства по интеграции OKTA SAML.

SSO с активным каталогом FS
1. Установите ADFS 2.0 (помощь можно найти в http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2.
Скачать метаданные.xml
.

3. В консоли управления ADFS 2.0 добавьте сертификат SSL для подписания ответов/запросов Dotcom-Monitor:
- Запуск консоли управления ADFS 2.0 и открытого мастера конфигурации сервера.
- Нажмите Создайте новый FS и выберите Автономный FS.
- Выберите сертификат SSL (если нет сертификатов, вы можете создать само подписал сертификат с помощью сертификатов INETMGR > Server > Создайте само подписал сертификат).
4. В консоли управления ADFS 2.0 добавьте IDR в трасты ADFS Relying Party Trusts:
- Нажмите Опираясь партия доверяет и выберите Добавить Опираясь партии Доверия.
- В окне мастера нажмите Кнопку «Начать» и выберите данные импорта о полагаюсь стороне из файла.
- Выберите метаданные.xml.
- Выберите любое значимое имя(dotcom-monitor.com).
- Нажмите далее и следуйте подсказкам.
- На этапе Правил авторизации выдачи выберите Разрешить всем пользователям получить доступ к этой полагаюсь стороне
- На финише нажмите кнопку, чтобы выбрать диалог Open the Edit Claim Rules для этого доверия участников, когда мастер закрывает флажок.
- Закрой волшебника.
5. Установите SHA-1 в качестве безопасного хэш-алгоритма:
- После создания полагаясь партия доверия право нажмите его в списке и выберите Properties.
- Перейдите на расширенную вкладку и измените алгоритм хэширования на SHA-1.
6. Добавить правило претензии для отправки атрибутов LDAP в качестве претензий:
- Нажмите правой кнопкой мыши на полагаюсь сторону, выберите Правила претензии к редактированию.
- Нажмите Добавить Правило и убедитесь, что шаблон правила претензии имеет Отправить атрибуты LDAP по мере выбора претензий.
- Дайте имя правила претензии.
- Выберите магазин Attribute, чтобы быть активным каталогом.
- Добавьте два отображения атрибутов: для настройки User-Principal-Name UPN,для токен-групп – Неквалифицированные имена, установленные роль.
7. Добавить пользовательское правило:
- Нажмите правой кнопкой мыши на полагаюсь сторону, выберите Правила претензии к редактированию.
- Нажмите Добавить Правило и установить шаблон правила претензии для отправки претензий с помощью пользовательского правила.
- Дайте имя правила претензии.
- Вставьте следующий скрипт:
c: [Type] Вопрос > (Тип – “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, Эмитент – c.Issuer, OriginalIssuer – c.OriginalIssuer, Значение – c.Value, ValueType – c.ValueType, Свойства “http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”” – “urn:oasis:names:tc:SAML:2.0:nameid-format:transient”, Свойства “http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier” – “http://www.example.com/adfs/services/trust”, “Свойства” http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier https://userauth.dotcom-monitor.com/”.
- Замените“http://www.example.com/adfs/services/trust”надлежащим поставщиком идентификационных данных (IdP) entityID(“http://idpsite.com/adfs/services/trust“).
8. Открытый URL в браузере от машины IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Сохранить содержимое XML в качестве файла и отправить его в поддержку Dotcom-Monitor с помощью билетной системы.

При включении SSO можно добавлять пользователей сайта Dotcom-Monitor, создавая новых пользователей в AD или добавляя существующих пользователей в одну из следующих групп: «Dotcom-Monitor_Power_Users»,Dotcom-Monitor_User_Users»,Dotcom-Monitor_Accounting_Users»,Dotcom-Monitor_ReadOnly_Users»,Dotcom-Monitor_Operators. Каждая из этих групп должна иметь«глобальный»или«универсальный»охват итип «безопасности».
SSO с активным каталогом AZURE
1. Войдите на портал Azure в качестве глобального администратора или со-администратора.

2. На портале, на левой навигационной панели, выберите Активный каталог Azure.

3. Для управления (создания) пользователей для будущего входа sSO с помощью Azure AD, в разделе Управление в навигационной панели Azure Active Directory, выберите пользователей > Всех пользователей:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Создание нового корпоративного приложения:
- В навигационной панели Azure Active Directory выберите корпоративные приложения.
- Нажмите Новое приложение, затем Не-галерея приложения.
- На странице Добавить собственное приложение, установить имя для нового приложения(“userauth.dotcom-monitor.com“) и нажмите Добавить.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Редактировать метаданные приложения для добавления групп дотком-монитора:
- В навигационной панели Azure Active Directory выберите регистрацию приложений.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Нажмите наприложение “userauth.dotcom-monitor.com”,затем под разделом “Управление”, выберите Manifest.
- В веб-редактор манифеста добавьте следующие роли под узлом appRoles и сохраните:
```
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operator_Users",
      "value": "Dotcom-Monitor_Operator_Users"
    },
```
5. Редактировать настройки SSO:
- В навигационной панели Azure Active Directory выберите корпоративные приложения,нажмите Кнопку «Все приложения».
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Нажмите наприложение “userauth.dotcom-monitor.com“
- В разделе «Управление» выберите Единый знак.
- Выберите SAML для настройки одного ва-она. На настройках одного ва-подвок с SAML – Предварительная страница настраивает основные варианты SAML:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Выберите значок редактирования (карандаш) в правом верхнем углу раздела Атрибуты и претензии пользователя и добавьте новые атрибуты:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Выберите значок Редактирования (карандаш) в правом верхнем углу раздела Сертификат подписи SAML.
- В разделе Сертификат подписи SAML нажмите Скачать метаданные XML и сохранить его на диске. Этот файл должен быть отправлен dotcom-monitor.com поддержку.
- Проверьте Сделать новый сертификат активным (только после загрузки метаданных) и подтвердить действие.
- Проверьте расширенные настройки подписи сертификата и установите SHA-1 в качестве алгоритма подписания.
- Нажмите Сохранить.
6.Назначить роли:
- В навигационной панели Azure Active Directory выберите корпоративные приложения,нажмите Кнопку «Все приложения».
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Нажмите наприложение “userauth.dotcom-monitor.com“, а затем выбрать пользователей и групп.
- Нажмите Добавить пользователя,выберите пользователя, выберите роль (одна из ролей дотком-монитора), нажмите Назначить. Сделай это для всех пользователей, необходимых.
7. Отправить метаданные.xml на поддержку дотком-монитора. Нажмите здесь, войти в свой аккаунт и представить билет.
SSO с OKTA

Проверьте следующие материалы, чтобы настроить интеграцию OKTA с Dotcom-Monitor и включить SSO:

OKTA – Dotcom-Монитор Интеграция PDF Руководство

OKTA SAML Интеграция с Dotcom-Монитор Пошаговое видео

SAML Логин Видео

Смотрите также следующие альтернативные руководства:

Альтернативное руководство Okta to Dotcom-Monitor

Okta до Dotcom-монитор SAML Конфигурация Видео

Настройка SSO для отделов

Если для учетной записи Dotcom-Monitor создан Отдел, можно настроить вход в систему пользователей SSO.

Чтобы включить SSO для отделов, добавьте название отдела в качестве суффикса к названию группы или роли, зарезервированной для целей Dotcom-Monitor в AD. Используйте двойной дефис в качестве сепаратора:

<Название > группы — < Название отдела>

Например, чтобы позволить пользователю войти в отдел “AlphaDep” в качестве пользователя питания, необходимо добавить следующий суффикс в Dotcom-Monitor_Power_Users AD Group:

«Dotcom-Monitor_Power_Users--AlphaDep»

Чтобы изменить название группы ADFS, нажмите правой кнопкой мыши на группу и выберите Rename. После переименования измените название предварительной Windows 2000 также во всплывающем поле или в имени properties > > General Group Name (до Windows 2000).

Для одновременного включения SSO для нескольких отделов добавьте названия отделов один за другим, используя один и тот же формат. Например:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Чтобы пользователи входят в корневую учетную запись, укажите соответствующую AD Group без суффикса отдела, как было описано выше:

«Dotcom-Monitor_ReadOnly_Users»

Если пользователь включен в несколько групп AD «Dotcom-Monitor_» с настроенным SSO для отделов, вход во все соответствующие отделы будет включен (если отделы существуют в учетной записи Dotcom-Monitor).

Единый знак на (SSO) Настройка

SSO с активным каталогом FS

SSO с активным каталогом AZURE

SSO с OKTA

Настройка SSO для отделов

Решения

Функции

Компании