Настройка SAML и WS-Federation#

Подключение по SAML 1.0/1.1/2.0#

При подключении приложения по SAML необходимо задать следующие настройки:

  • загрузить SAML-метаданные подключаемого приложения;

  • убедиться, что переключатель SAML-профиля стоит в режиме «SAML 2.0 Web SSO Profile»;

  • в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

    • указать, нужно ли подписывать SAML-атрибуты (SAML Assertions) в ответах Blitz Identity Provider;

    • указать, нужно ли шифровать SAML-атрибуты в ответах Blitz Identity Provider;

    • указать, нужно ли шифровать SAML-идентификаторы (SAML NameIds) в ответах Blitz Identity Provider;

    • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

  • указать, какие SAML-атрибуты пользователя из Blitz Identity Provider передавать в приложение. SAML-атрибуты должны быть предварительно сконфигурированы в разделе «SAML» консоли управления (см. Настройка SAML-атрибутов).

:size=80%

Настройки протокола SAML для приложения#

Подключение по WS-Federation#

При подключении приложения по WS-Federation необходимо задать следующие настройки:

  • загрузить метаданные подключаемого приложения;

  • переключатель SAML-профиля установить в режим «WS-Federation Passive Requestor Profile»;

  • в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

    • указать, нужно ли подписывать утверждения (Assertions) в ответах Blitz Identity Provider;

    • указать время жизни утверждений в ответе. Необходимо использовать формат ISO 8601 для указания продолжительности периода, например, PT5M – 5 минут;

    • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

  • указать, какие атрибуты пользователя из Blitz Identity Provider передавать в приложение. Атрибуты должны быть предварительно сконфигурированы в разделе «SAML» консоли управления (см. Настройка SAML-атрибутов).

:size=80%

Настройки протокола WS-Federation для приложения#

Настройка SAML-атрибутов#

Для регистрации SAML-атрибутов пользователя в Blitz Identity Provider используется раздел «SAML» консоли управления.

Для добавления нового SAML-атрибута необходимо:

  1. Нажать на ссылку «Добавить новый SAML-атрибут».

  2. Ввести:

    • название SAML-атрибута (именно оно будет отображаться при подключении SAML-приложений);

    • источник атрибута (отображаются все атрибуты, определенные в разделе «Источники данных»).

  3. Нажать «Добавить». Атрибут будет добавлен.

  4. Определить кодировщики атрибутов. Для этого необходимо:

    • нажать на ссылку «Добавить кодировщик»;

    • выбрать тип кодировщика; следует обратить внимание, что тип кодировщика зависит от версии протокола, с которой работает поставщик услуг (подключенное приложение);

    • название SAML-атрибута, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

    • короткое название, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

    • формат имени.

При необходимости можно определить несколько кодировщиков выбранного SAML-атрибута (для этого каждый кодировщик должен относиться к разным типам кодировщиков).

:size=80%

Настройка SAML-атрибутов#