Сервер авторизации SAML IDP (Security Assertion Markup Language Identity Provider) позволяет авторизовать пользователей c помощью развернутой на предприятии системе Single Sign-On (SSO), например, Microsoft Active Directory Federation Service. Это позволяет пользователю единожды авторизовавшись в системе SSO прозрачно проходить авторизацию на всех ресурсах, поддерживающих авторизацию SAML. UserGate может быть настроен в качестве SAML сервис-провайдера, использующего сервера SAML IDP для авторизации клиента.
Сервер SAML IDP не может предоставить свойства пользователей в UserGate и, если не настроено подключение к домену AD с помощью LDAP-коннектора, поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере SAML) или Unknown (не прошедших авторизацию).
Для использования авторизации с помощью сервера SAML IDP необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать DNS-записи для сервера UserGate. |
На контроллере домена создать DNS-запись, соответствующую серверу UserGate, для использования в качестве домена для auth.captive, например, utm.domain.loc. В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted. |
|
Шаг 2. Настроить DNS-серверы на UserGate. |
В настройках UserGate в качестве системных DNS-серверов указать IP-адреса контроллеров домена. |
|
Шаг 3. Изменить адрес Домен auth captive-портала. |
Изменить адрес Домен auth captive-портала в разделе Настройки на созданную на предыдущем шаге запись DNS. Подробно об изменении адреса домена Auth Captive-портала смотрите в разделе Общие настройки. |
|
Шаг 4. Настроить сервер SAML IDP. |
Добавить на сервере SAML IDP запись о сервис-провайдере UserGate, указывая созданное на шаге 1 FQDN имя. |
|
Шаг 5. Создать сервер авторизации пользователей SAML IDP. |
Создать в UserGate сервер авторизации пользователей SAML IDP. |
Для создания сервера авторизации пользователей SAML IDP необходимо в разделе Пользователи и устройства --> Серверы авторизации нажать на кнопку Добавить, выбрать Добавить SAML IDP-сервер и указать следующие параметры:
|
Наименование |
Описание |
|---|---|
|
Включен |
Включает или отключает использование данного сервера авторизации. |
|
Название сервера |
Название сервера авторизации. |
|
Описание |
Описание сервера авторизации. |
|
SAML metadata URL |
URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML. При нажатии на кнопку Загрузить происходит заполнение необходимых полей настройки сервера авторизации данными, полученными из xml-файла. Это предпочтительный метод настройки сервера авторизации SAML IDP. Подробно о сервере SAML смотрите в соответствующей документации. |
|
Сертификат SAML IDP |
Сертификат, который будет использован в SAML-клиенте. Возможны варианты:
|
|
Single sign-on URL |
URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
Single sign-on binding |
Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
Single logout URL |
URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
Single logout binding |
Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |