Перейти к содержанию

AD FS

Описание

Active Directory Federation System (AD FS) может быть использована как внешняя служба авторизации пользователей на основе данных Active Directory (используя механизмы OAUTH).

После выполнения настройки между Space Disp и AD FS устанавливается связь, в результате которой Space Disp предоставляет пользователям сессии вход в систему с учетом всех существующих настроек системы.

Внимание

В Firefox, поставляемом в репозиториях Astra Linux, механизм входа в клиент средствами AD FS может работать нестабильно. В случае возникновения проблем следует воспользоваться браузерами Chromium, Google Chrome или аналогами.

Настройка AD FS

Для возможности Space Disp обращаться к адресу (доменному имени AD FS) необходимо выполнить настройку на сервере AD.

Добавление группы приложений на стороне AD FS (на примере Windows Server 2019)

  1. Установить службу AD FS.

  2. Найти в списке доступных программ Управление AD FS. image

  3. В открывшемся окне перейти в раздел Группы приложений и в действиях выбрать Добавить группу приложений.

    image

  4. В мастере добавления групп задать имя и описание, а в шаблонах выбрать Серверное приложение, подключающееся к веб-API.

  5. Нажать Далее и на этапе Приложение сервера скопировать Идентификатор клиента.
  6. Заполнить поле Перенаправить URI.

    Значение поля Перенаправить URI - это адрес, по которому служба AD FS обратится в случае успешного входа пользователя.

    При работающем шлюзе подключений внешних пользователей в качестве адреса REDIRECT URI || Перенаправить URI необходимо указать адрес шлюза в формате:
    https://адрес_шлюза/api/auth/adfs
    После этого при завершении процедуры входа на AD FS шлюз перенаправит запрос на диспетчер.

    Пример: https://disp53.spacevm.test/api/auth/adfs

  7. На этапе Настроить учетные данные приложения необходимо выбрать Создать общий секрет и скопировать полученное значение.

    image

  8. На этапе Настройка веб-интерфейса API необходимо продублировать доменное имя Space Disp как значение Идентификатор.

  9. На этапе Применение политики доступа допускается оставить разрешения стандартными.

  10. На этапе Настроить разрешения для приложений необходимо убедиться, что пункт openid активен.

    Значение будет использовано Space Disp для выдачи сессии со стороны диспетчера.

  11. На этапе Сводка требуется проверить сохраненные данные и убедиться в их корректности.

Примечания

По итогам настройки службы должны быть сохранены, как минимум, два обязательных параметра - CLIENT_ID и SHARED_SECRET.

Параметры URL

Если в настройках AD FS изменены параметры URL подключения oauth_authorize_url, то необходимо сохранить изменения для настройки интеграции.

Если доменные имена были не настроены, то необходимо перейти в службу DNS и прописать соответствие IP-адреса диспетчера указанному доменному имени.

image

Чтобы убедиться, что базовая настройка AD FS выполнена успешно, необходимо выполнить команду, разрешающую просмотр InitiatedSignonPage:

Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

После ввода команды перейти по ссылке https://fs.spacevm.test/adfs/ls/idpinitiatedsignon. В результате должна открыться страница входа.

image

Настройка Space Disp

Для настройки интеграции с AD FS необходимо авторизоваться в Space Disp с учетными данными пользователя с ролью Администратор безопасности.

  1. Перейти в раздел основного меню Безопасность - Служба каталогов - Настройки AD FS.

  2. В открывшейся форме указать данные для подключения к AD FS и нажать Сохранить.

    В поле REDIRECT_URL необходимо указать значение, которое было использовано при настройке подключения на стороне AD FS.

Внимание

Если параметр Требовать MFA включен, но на стороне AD FS MFA не настроен, то вход будет недоступен.

Примечания

Значение SHARED_SECRET необходимо указать только при первой настройке или при изменении самого SHARED_SECRET.

Если при нажатии Сохранить появляется ошибка вида Невозможно подключиться к службе AD FS, необходимо убедиться в доступности доменного имени со стороны диспетчера или контейнеров.

Если настроить корректную работу DNS не удается, то имеется возможность прописать соответствие имени и IP-адреса, выполнив команду:

sudo docker service update multivdi_vdi-tornado --host-add "fs.spacevm.test:10.2.159.245"

Авторизация в Space Disp

Необходимо нажать кнопку Вход AD FS.

Кнопка отображается только при включенной службе AD FS в настройках Space Disp.