Подключение приложения по протоколу SAML и WS-Federation

Blitz Identity Provider в соответствии с принятой в SAML терминологией представляет собой поставщик идентификации (Identity Provider). Подключаемое к Blitz Identity Provider приложение в свою очередь называется поставщиком услуг (Service Provider).

В общем виде настройка подключения по SAML обычно включает следующие шаги:

  1. Регистрация приложения в Blitz Identity Provider.

  2. Конфигурирование протокола подключения приложения на стороне Blitz Identity Provider.

  3. Конфигурирование приложения – настройка параметров подключения к поставщику идентификации Blitz Identity Provider.

Регистрация приложения в Blitz Identity Provider

Для регистрации приложения необходимо перейти в раздел Приложения консоли и выбрать пункт «Добавить приложение»:

Перечень подключенных приложений

Это действие запустит мастер подключения. На первом этапе необходимо указать идентификатор подключаемого приложения – entityID, его название и домен, т.е. URL, по которому доступно данное приложение: Название приложения используется в дальнейшем в Blitz Identity Provider при отображении на странице входа в случае инициирования приложением запроса на идентификацию пользователя.

Домен приложения используется при необходимости перенаправления пользователя в приложение из веб-страниц Blitz Identity Provider. Перенаправление осуществляется на указанный домен или на переданный в процессе взаимодействия с Blitz Identity Provider специализированный redirect_url, но при этом выполняется сверка, что redirect_url соответствует заданному в настройке приложения домену.

В списке «Шаблон страниц» необходимо выбрать, на основе какого шаблона должна отображаться страница входа при попытке доступа пользователя в данное приложение. Шаблоны определяются в разделе Внешний вид консоли управления.

Первый шаг подключения приложения

Конфигурирование протокола подключения приложения на стороне Blitz Identity Provider

После добавления приложения необходимо перейти к редактированию специфических настроек SAML и WS-Federation, нажав на кнопку «Редактировать» (Редактировать). Далее выбрать протокол взаимодействия – SAML – и перейти к его конфигурированию, нажав по ссылке «Сконфигурировать».

В ряде случаев специфические настройки рекомендуется задавать после того, как будет произведено конфигурирование на стороне приложения. Если это конфигурирование не выполнялось, рекомендуется ознакомиться с документацией на подключаемое приложение.

Как минимум, должна быть известна следующая информация:
  • метаданные приложения (поставщика услуг);
  • какие атрибуты должно получить приложение от поставщика идентификации (Blitz Identity Provider) и под какими именами;
  • нужно ли подписывать/шифровать утверждения, передаваемые в приложение.


Подключение по SAML 1.0/1.1/2.0

Для конфигурирования протокола SAML необходимо:

  • задать файл метаданных SAML подключаемого приложения (метаданные поставщика услуг);

  • убедиться, что переключатель SAML-профиля стоит в режиме «SAML 2.0 Web SSO Profile»;

  • в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

  • нужно ли подписывать SAML-атрибуты (SAML Assertions) в ответах Blitz Identity Provider;

  • нужно ли шифровать SAML-атрибуты в ответах Blitz Identity Provider;
  • нужно ли шифровать SAML-идентификаторы (SAML NameIds) в ответах Blitz Identity Provider;
  • нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

  • указать, какие SAML-атрибуты пользователя из Blitz Identity Provider передавать в приложение. SAML-атрибуты должны быть предварительно сконфигурированы в разделе SAML консоли управления (описано далее в этом разделе).

Настройки протокола SAML для приложения

Подключение по WS-Federation

При подключении приложения по WS-Federation необходимо задать следующие настройки:

  • загрузить метаданные подключаемого приложения;

  • переключатель SAML-профиля установить в режим «WS-Federation Passive Requestor Profile»;

  • в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

  • указать, нужно ли подписывать утверждения (Assertions) в ответах Blitz Identity Provider;

  • указать время жизни утверждений в ответе. Необходимо использовать формат ISO 8601 для указания продолжительности периода , например, PT5M – 5 минут;
  • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

  • указать, какие атрибуты пользователя из Blitz Identity Provider передавать в приложение. Атрибуты должны быть предварительно сконфигурированы в разделе SAML консоли управления (см. далее).

Настройки протокола WS-Federation для приложения

Создание утверждений SAML в Blitz Identity Provider

Чтобы создать новое утверждение SAML и сделать его возможным для передачи приложению, необходимо перейти в раздел SAML консоли и выбрать пункт «Добавить новый SAML-атрибут».

При создании SAML-атрибута нужно указать:

  • название SAML-атрибута – текстовая строка с названием атрибута, требующимся для подключаемого приложения.
  • источник сведений для SAML-атрибута – выбрать из списка атрибут хранилища.
  • кодировщик SAML – выбрать тип кодировщика, название, короткое название и формат.

Настройка SAML-атрибутов

Конфигурирование приложения (поставщика услуг)

Конфигурирование приложения должно осуществляться в соответствии с документацией на данное приложение. Если приложение не поддерживает протокол SAML, следует произвести его доработку согласно рекомендациям.

На стороне приложения конфигурирование поставщика идентификации обычно включает в себя:

  • добавление метаданных поставщика идентификации или сертификата ключа электронной подписи. В ряде случаев вместо этого может требоваться указание URL метаданных поставщика идентификации. Обычно он имеет вид : <hostname>/blitz/saml/profile/Metadata/SAML;
  • указание URL аутентификации поставщика идентификации. Обычно имеет вид: <hostname>/blitz/saml/profile/SAML2/Redirect/SSO;
  • указание URL логаута поставщика идентификации. Обычно имеет вид: <hostname>/blitz/saml/profile/SAML2/Redirect/SLO;
  • указание URL издателя SAML. Обычно имеет вид: <hostname>/blitz/saml/;

В приведенных выше ссылках <hostname> – это адрес, на котором установлен Blitz Identity Provider, например https://idp.reaxoft.ru.

Типичные вопросы о том, как настроить приложение для подключения к Blitz Identity Provider по протоколу SAML, приведены ниже.

Вопрос: Где я могу найти метаданные поставщика идентификации Blitz Identity Provider?

Зайдите в раздел SAML консоли управления Blitz Identity Provider. В нем будет указан URL метаданных.

Чтобы загрузить метаданные, просто пройдите по ссылке вида <hostname>/blitz/saml/profile/Metadata/SAML и скопируйте открытый XML документ в приложение.

Вопрос: Где я могу найти сертификат SAML поставщика идентификации Blitz Identity Provider?

Откройте XML-документ с метаданными поставщика идентификации Blitz Identity Provider. Найдите раздел – в нем и располагается сертификат SAML поставщика идентификации. Пример:

Сертификат поставщика идентификации

Иногда для корректной загрузки в приложение перед строкой с сертификатом нужно вставить строку -----BEGIN CERTIFICATE-----, а после – -----END CERTIFICATE-----.

На скриншотах ниже представлены примеры настройки подключения к поставщику идентификации Blitz Identity Provider в приложениях G Suite и Facebook Workplace.

Настройка подключения к поставщику идентификации Blitz Identity Provider в G Suite (Google Apps)

Настройка подключения к поставщику идентификации Blitz Identity Provider в Facebook Workplace