6.3.4. Сервер авторизации пользователей SAML IDP

Сервер авторизации SAML IDP (Security Assertion Markup Language Identity Provider) позволяет авторизовать пользователей c помощью развернутой на предприятии системе Single Sign-On (SSO), например, Microsoft Active Directory Federation Service. Это позволяет пользователю единожды авторизовавшись в системе SSO прозрачно проходить авторизацию на всех ресурсах, поддерживающих авторизацию SAML. UserGate может быть настроен в качестве SAML сервис-провайдера, использующего сервера SAML IDP для авторизации клиента.

Сервер SAML IDP не может предоставить свойства пользователей в UserGate и, если не настроено подключение к домену AD с помощью LDAP-коннектора, поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере SAML) или Unknown (не прошедших авторизацию).

Для использования авторизации с помощью сервера SAML IDP необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать DNS-записи для сервера UserGate.

На контроллере домена создать DNS-запись, соответствующую серверу UserGate, для использования в качестве домена для auth.captive, например, utm.domain.loc. В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted.

Шаг 2. Настроить DNS-серверы на UserGate.

В настройках UserGate в качестве системных DNS-серверов указать IP-адреса контроллеров домена.

Шаг 3. Изменить адрес Домен auth captive-портала.

Изменить адрес Домен auth captive-портала в разделе Настройки на созданную на предыдущем шаге запись DNS. Подробно об изменении адреса домена Auth Captive-портала смотрите в разделе Общие настройки.

Шаг 4. Настроить сервер SAML IDP.

Добавить на сервере SAML IDP запись о сервис-провайдере UserGate, указывая созданное на шаге 1 FQDN имя.

Шаг 5. Создать сервер авторизации пользователей SAML IDP.

Создать в UserGate сервер авторизации пользователей SAML IDP.

Для создания сервера авторизации пользователей SAML IDP необходимо в разделе Пользователи и устройства --> Серверы авторизации нажать на кнопку Добавить, выбрать Добавить SAML IDP-сервер и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает использование данного сервера авторизации.

Название сервера

Название сервера авторизации.

Описание

Описание сервера авторизации.

SAML metadata URL

URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML. При нажатии на кнопку Загрузить происходит заполнение необходимых полей настройки сервера авторизации данными, полученными из xml-файла. Это предпочтительный метод настройки сервера авторизации SAML IDP. Подробно о сервере SAML смотрите в соответствующей документации.

Сертификат SAML IDP

Сертификат, который будет использован в SAML-клиенте. Возможны варианты:

  • Создать новый сертификат из скачанного - если при настройке был использован метод загрузки xml- файла, то сертификат автоматически создается и ему назначается роль SAML IDP (смотрите раздел Управление сертификатами).

  • Использовать существующий сертификат. Сертификат уже должен быть создан или импортирован в разделе Сертификаты, и ему не должна быть назначена роль. После создания и сохранения сервера авторизации этому сертификату будет назначена роль SAML IDP.

  • Не использовать сертификат.

Single sign-on URL

URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.

Single sign-on binding

Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.

Single logout URL

URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.

Single logout binding

Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.