Единый знак на (SSO) Настройка

1. Установите ADFS 2.0 (помощь можно найти в http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2.
Скачать метаданные.xml
.

3. В консоли управления ADFS 2.0 добавьте сертификат SSL для подписания ответов/запросов Dotcom-Monitor:

• Запуск консоли управления ADFS 2.0 и открытого мастера конфигурации сервера.
• Нажмите Создайте новый FS и выберите Автономный FS.
• Выберите SSL-сертификат (если сертификатов нет, вы можете создать самозаверяющий сертификат с помощью сертификатов > сервера INETMGR > Создать самозаверяющий сертификат).

4. В консоли управления ADFS 2.0 добавьте IDR в трасты ADFS Relying Party Trusts:

• Нажмите Опираясь партия доверяет и выберите Добавить Опираясь партии Доверия.
• В окне мастера нажмите Кнопку «Начать» и выберите данные импорта о полагаюсь стороне из файла.
• Выберите метаданные.xml.
• Выберите любое значимое имя(dotcom-monitor.com).
• Нажмите далее и следуйте подсказкам.
• На этапе Правил авторизации выдачи выберите Разрешить всем пользователям получить доступ к этой полагаюсь стороне
• На последнем шаге щелкните, чтобы снять флажок Открыть диалоговое окно “Изменить правила утверждений” для этого отношения доверия с проверяющей стороной при закрытии мастера .
• Закрой волшебника.

5. Установите SHA-1 в качестве безопасного хэш-алгоритма:

• После создания полагаясь партия доверия право нажмите его в списке и выберите Properties.
• Перейдите на расширенную вкладку и измените алгоритм хэширования на SHA-1.

6. Добавить правило претензии для отправки атрибутов LDAP в качестве претензий:

• Нажмите правой кнопкой мыши на полагаюсь сторону, выберите Правила претензии к редактированию.
• Нажмите Добавить Правило и убедитесь, что шаблон правила претензии имеет Отправить атрибуты LDAP по мере выбора претензий.
• Дайте имя правила претензии.
• Выберите магазин Attribute, чтобы быть активным каталогом.
• Добавьте два отображения атрибутов: для настройки User-Principal-Name UPN,для токен-групп – Неквалифицированные имена, установленные роль.

7. Добавить пользовательское правило:

• Нажмите правой кнопкой мыши на полагаюсь сторону, выберите Правила претензии к редактированию.
• Нажмите Добавить Правило и установить шаблон правила претензии для отправки претензий с помощью пользовательского правила.
• Дайте имя правила претензии.
• Вставьте следующий скрипт:

 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")

• Замените“http://www.example.com/adfs/services/trust”надлежащим поставщиком идентификационных данных (IdP) entityID(“http://idpsite.com/adfs/services/trust“).

8. Откройте URL-адрес в браузере с компьютера IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Сохраните XML-содержимое в виде файла и отправьте его в службу поддержки Dotcom-Monitor с помощью системы тикетов.

Если единый вход включен, вы можете добавлять пользователей веб-сайта Dotcom-Monitor, создавая новых пользователей в AD или добавляя существующих пользователей в одну из следующих групп: «Dotcom-Monitor_Administrators», «Dotcom-Monitor_Users», «Dotcom-Monitor_Power_Users», «Dotcom-Monitor_Accounting_Users», «Dotcom-Monitor_ReadOnly_Users», «Dotcom-Monitor_Operators». Каждая из этих групп должна иметь«глобальный»или«универсальный»охват итип «безопасности».

1. Войдите на портал Azure в качестве глобального администратора или со-администратора.

2. На портале, на левой навигационной панели, выберите Активный каталог Azure.

3. Для управления (создания) пользователей для будущего входа sSO с помощью Azure AD, в разделе Управление в навигационной панели Azure Active Directory, выберите пользователей > Всех пользователей:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Создание нового корпоративного приложения:

• В навигационной панели Azure Active Directory выберите корпоративные приложения.
• Нажмите Новое приложение, затем Не-галерея приложения.
• На странице Добавление собственного приложения задайте имя для нового приложения (“userauth.dotcom-monitor.com“) и нажмите кнопку Добавить.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Редактировать метаданные приложения для добавления групп дотком-монитора:

• В навигационной панели Azure Active Directory выберите регистрацию приложений.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps

• Нажмите наприложение “userauth.dotcom-monitor.com”,затем под разделом “Управление”, выберите Manifest.
• В веб-редактор манифеста добавьте следующие роли под узлом appRoles и сохраните:

   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },

5. Редактировать настройки SSO:

• На панели навигации Azure Active Directory выберите Корпоративные приложения и щелкните Все приложения.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

• Нажмите наприложение “userauth.dotcom-monitor.com“
• В разделе «Управление» выберите Единый знак.
• Выберите SAML для настройки одного ва-она. На настройках одного ва-подвок с SAML – Предварительная страница настраивает основные варианты SAML:

Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”

• Выберите значок редактирования (карандаш) в правом верхнем углу раздела Атрибуты и претензии пользователя и добавьте новые атрибуты:

 Name: “Roles”
 Value: “user.assignedroles”

• Выберите значок Редактирования (карандаш) в правом верхнем углу раздела Сертификат подписи SAML.
• В разделе Сертификат подписи SAML нажмите Скачать метаданные XML и сохранить его на диске. Этот файл должен быть отправлен dotcom-monitor.com поддержку.
• Проверьте Сделать новый сертификат активным  (только после загрузки метаданных) и подтвердить действие.
• Проверьте расширенные настройки подписи сертификата и установите SHA-1 в качестве алгоритма подписания.
• Нажмите Сохранить.

6. Распределите роли:

• На панели навигации Azure Active Directory выберите Корпоративные приложения и щелкните Все приложения.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

• Нажмите наприложение “userauth.dotcom-monitor.com“, а затем выбрать пользователей и групп.
• Нажмите кнопку Добавить пользователя, выберите пользователя, выберите роль (одну из ролей dotcom-monitor) и нажмите кнопку Назначить. Сделай это для всех пользователей, необходимых.

7. Отправьте метаданные.xml в службу поддержки dotcom-monitor. Нажмите здесь, войдите в свою учетную запись и отправьте заявку.

Проверьте следующие материалы, чтобы настроить интеграцию OKTA с Dotcom-Monitor и включить SSO:

OKTA – Dotcom-Монитор Интеграция PDF Руководство

OKTA SAML Интеграция с Dotcom-Монитор Пошаговое видео

SAML Логин Видео

Смотрите также следующие альтернативные руководства:

Альтернативное руководство Okta to Dotcom-Monitor

Okta до Dotcom-монитор SAML Конфигурация Видео