Единый знак на (SSO) Настройка

Dotcom-Monitor поддерживает вход в систему SSO (Single Sign On) с использованием SAML 2.0. SAML обеспечивает передачу аутентификационных данных между провайдером идентификации клиентов и сервисом Dotcom-Monitor. Вся информация для входа пользователя хранится на стороне поставщика идентификационных данных, а не Dotcom-Monitor, что гарантирует высокий уровень безопасности и лучший пользовательский опыт.

После того, как вы настроили группы разрешений в своей системе, Dotcom-Monitor сопоставляет эти группы с нашими ролями пользователей и соответственно предоставляет доступ к системе Dotcom-Monitor.

Далее в этой статье мы опишем действия, необходимые для включения единого входа с Active Directory FS (ADFS) и AZURE Active Directory (Azure AD) в качестве поставщиков удостоверений. Также приведены пошаговые инструкции по интеграции OKTA SAML.

Как правило, не рекомендуется настраивать пользователя Dotcom-Monitor в нескольких группах с различными уровнями разрешений в Active Directory. Однако, если пользователь принадлежит к двум или более уровням разрешений в Dotcom-Monitor, самый низкий уровень разрешений будет иметь приоритет над уровнями с более высокими разрешениями. Например, если пользователю одновременно назначены роли Viewer (только для чтения) и Power User на платформе Dotcom-Monitor, то при входе в систему SSO будут применены разрешения роли Viewer.

SSO с активным каталогом FS
1. Установите ADFS 2.0 (помощь можно найти в http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2.
Скачать метаданные.xml
.

3. В консоли управления ADFS 2.0 добавьте сертификат SSL для подписания ответов/запросов Dotcom-Monitor:
- Запуск консоли управления ADFS 2.0 и открытого мастера конфигурации сервера.
- Нажмите Создайте новый FS и выберите Автономный FS.
- Выберите SSL-сертификат (если сертификатов нет, вы можете создать самозаверяющий сертификат с помощью сертификатов > сервера INETMGR > Создать самозаверяющий сертификат).
4. В консоли управления ADFS 2.0 добавьте IDR в трасты ADFS Relying Party Trusts:
- Нажмите Опираясь партия доверяет и выберите Добавить Опираясь партии Доверия.
- В окне мастера нажмите Кнопку «Начать» и выберите данные импорта о полагаюсь стороне из файла.
- Выберите метаданные.xml.
- Выберите любое значимое имя(dotcom-monitor.com).
- Нажмите далее и следуйте подсказкам.
- На этапе Правил авторизации выдачи выберите Разрешить всем пользователям получить доступ к этой полагаюсь стороне
- На последнем шаге щелкните, чтобы снять флажок Открыть диалоговое окно “Изменить правила утверждений” для этого отношения доверия с проверяющей стороной при закрытии мастера .
- Закрой волшебника.
5. Установите SHA-1 в качестве безопасного хэш-алгоритма:
- После создания полагаясь партия доверия право нажмите его в списке и выберите Properties.
- Перейдите на расширенную вкладку и измените алгоритм хэширования на SHA-1.
6. Добавить правило претензии для отправки атрибутов LDAP в качестве претензий:
- Нажмите правой кнопкой мыши на полагаюсь сторону, выберите Правила претензии к редактированию.
- Нажмите Добавить Правило и убедитесь, что шаблон правила претензии имеет Отправить атрибуты LDAP по мере выбора претензий.
- Дайте имя правила претензии.
- Выберите магазин Attribute, чтобы быть активным каталогом.
- Добавьте два отображения атрибутов: для настройки User-Principal-Name UPN,для токен-групп – Неквалифицированные имена, установленные роль.
7. Добавить пользовательское правило:
- Нажмите правой кнопкой мыши на полагаюсь сторону, выберите Правила претензии к редактированию.
- Нажмите Добавить Правило и установить шаблон правила претензии для отправки претензий с помощью пользовательского правила.
- Дайте имя правила претензии.
- Вставьте следующий скрипт:
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- Замените“http://www.example.com/adfs/services/trust”надлежащим поставщиком идентификационных данных (IdP) entityID(“http://idpsite.com/adfs/services/trust“).
8. Откройте URL-адрес в браузере с компьютера IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Сохраните XML-содержимое в виде файла и отправьте его в службу поддержки Dotcom-Monitor с помощью системы тикетов.

Если единый вход включен, вы можете добавлять пользователей веб-сайта Dotcom-Monitor, создавая новых пользователей в AD или добавляя существующих пользователей в одну из следующих групп: «Dotcom-Monitor_Administrators», «Dotcom-Monitor_Users», «Dotcom-Monitor_Power_Users», «Dotcom-Monitor_Accounting_Users», «Dotcom-Monitor_ReadOnly_Users», «Dotcom-Monitor_Operators». Каждая из этих групп должна иметь«глобальный»или«универсальный»охват итип «безопасности».
SSO с активным каталогом AZURE
1. Войдите на портал Azure в качестве глобального администратора или со-администратора.

2. На портале, на левой навигационной панели, выберите Активный каталог Azure.

3. Для управления (создания) пользователей для будущего входа sSO с помощью Azure AD, в разделе Управление в навигационной панели Azure Active Directory, выберите пользователей > Всех пользователей:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Создание нового корпоративного приложения:
- В навигационной панели Azure Active Directory выберите корпоративные приложения.
- Нажмите Новое приложение, затем Не-галерея приложения.
- На странице Добавление собственного приложения задайте имя для нового приложения (“userauth.dotcom-monitor.com“) и нажмите кнопку Добавить.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Редактировать метаданные приложения для добавления групп дотком-монитора:
- В навигационной панели Azure Active Directory выберите регистрацию приложений.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Нажмите наприложение “userauth.dotcom-monitor.com”,затем под разделом “Управление”, выберите Manifest.
- В веб-редактор манифеста добавьте следующие роли под узлом appRoles и сохраните:
```
   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },
```
5. Редактировать настройки SSO:
- На панели навигации Azure Active Directory выберите Корпоративные приложения и щелкните Все приложения.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Нажмите наприложение “userauth.dotcom-monitor.com“
- В разделе «Управление» выберите Единый знак.
- Выберите SAML для настройки одного ва-она. На настройках одного ва-подвок с SAML – Предварительная страница настраивает основные варианты SAML:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Выберите значок редактирования (карандаш) в правом верхнем углу раздела Атрибуты и претензии пользователя и добавьте новые атрибуты:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Выберите значок Редактирования (карандаш) в правом верхнем углу раздела Сертификат подписи SAML.
- В разделе Сертификат подписи SAML нажмите Скачать метаданные XML и сохранить его на диске. Этот файл должен быть отправлен dotcom-monitor.com поддержку.
- Проверьте Сделать новый сертификат активным (только после загрузки метаданных) и подтвердить действие.
- Проверьте расширенные настройки подписи сертификата и установите SHA-1 в качестве алгоритма подписания.
- Нажмите Сохранить.
6. Распределите роли:
- На панели навигации Azure Active Directory выберите Корпоративные приложения и щелкните Все приложения.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Нажмите наприложение “userauth.dotcom-monitor.com“, а затем выбрать пользователей и групп.
- Нажмите кнопку Добавить пользователя, выберите пользователя, выберите роль (одну из ролей dotcom-monitor) и нажмите кнопку Назначить. Сделай это для всех пользователей, необходимых.
7. Отправьте метаданные.xml в службу поддержки dotcom-monitor. Нажмите здесь, войдите в свою учетную запись и отправьте заявку.
SSO с OKTA

Проверьте следующие материалы, чтобы настроить интеграцию OKTA с Dotcom-Monitor и включить SSO:

OKTA – Dotcom-Монитор Интеграция PDF Руководство

OKTA SAML Интеграция с Dotcom-Монитор Пошаговое видео

SAML Логин Видео

Смотрите также следующие альтернативные руководства:

Альтернативное руководство Okta to Dotcom-Monitor

Okta до Dotcom-монитор SAML Конфигурация Видео

Настройка SSO для отделов

Если у вас есть отдел, созданный для учетной записи Dotcom-Monitor, вы можете настроить пользователей единого входа для входа в него.

Чтобы включить SSO для отделов, добавьте название отдела в качестве суффикса к названию группы или роли, зарезервированной для целей Dotcom-Monitor в AD. Используйте двойной дефис в качестве сепаратора:

<AD Group Name>--<Department Name>

Чтобы настроить единый вход с помощью Dotcom-Monitor, используйте следующие имена для настройки ролей единого входа в службе каталогов:

Имя группы Active Directory (роль единого входа)	Роль пользователя в Dotcom-Monitor
Дотком-Monitor_Administrators	Администратора
Дотком-Monitor_Users	пользователь
Дотком-Monitor_Accounting_Users	бухгалтерский учет
Дотком-Monitor_ReadOnly_Users	Зритель
Дотком-Monitor_Power_Users	Пользователь питания
Дотком-Monitor_Operators	Operator

Например, чтобы разрешить пользователю входить в отдел “AlphaDep” с разрешениями роли “Опытный пользователь “, добавьте следующий суффикс в группу Dotcom-Monitor_Power_Users AD:

«Dotcom-Monitor_Power_Users--AlphaDep»

Чтобы изменить название группы ADFS, нажмите правой кнопкой мыши на группу и выберите Rename. После переименования измените название предварительной Windows 2000 также во всплывающем поле или в имени properties > > General Group Name (до Windows 2000).

Вы также можете добавить названия нескольких отделов одно за другим, используя один и тот же формат. Например:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Чтобы разрешить пользователям входить в учетную запись root, укажите соответствующую группу AD без суффикса отдела, как описано выше:

«Dotcom-Monitor_ReadOnly_Users»

Если пользователь включен в несколько групп AD «Dotcom-Monitor_» с настроенным SSO для отделов, вход во все соответствующие отделы будет включен (если отделы существуют в учетной записи Dotcom-Monitor).

Смотрите также: Вход с помощью единого входа

SSO с активным каталогом FS

SSO с активным каталогом AZURE

SSO с OKTA

Настройка SSO для отделов