Подключение приложения по протоколу SAML и WS-Federation

Blitz Identity Provider в соответствии с принятой в SAML терминологией представляет собой поставщик идентификации (Identity Provider). Подключаемое к Blitz Identity Provider приложение в свою очередь называется поставщиком услуг (Service Provider).

В общем виде настройка подключения по SAML обычно включает следующие шаги:

  1. Регистрация приложения в Blitz Identity Provider.

  2. Конфигурирование протокола подключения приложения на стороне Blitz Identity Provider.

  3. Конфигурирование приложения – настройка параметров подключения к поставщику идентификации Blitz Identity Provider.

Регистрация приложения в Blitz Identity Provider

Регистрация приложений в Blitz Identity Provider необходима для того, чтобы приложения могли использовать предоставляемые Blitz Identity Provider сервисы:

  • запрашивать идентификацию и аутентификацию пользователей;

  • вызывать REST-сервисы Blitz Identity Provider (доступно только в Enterprise-редакции).

Управление приложениями осуществляется в разделе Приложения консоли управления.

Перечень подключенных приложений

Создание учетной записи нового приложения

Для подключения нового веб - приложения необходимо перейти в раздел Приложения консоли и выбрать пункт «Добавить приложение». Это действие запустит мастер подключения нового приложения, работа которого включает в себя следующие шаги:

Шаг 1. Базовые настройки. Требуется указать идентификатор подключаемого приложения (при подключении по протоколу SAML идентификатор соответствует entityID, при подключении по OAuth 2.0 – client_id, при задании идентификатора для OAuth 2.0 недопустимо использовать двоеточие), его название и домен, т.е. URL, по которому доступно данное приложение.

Название приложения используется в дальнейшем в Blitz Identity Provider при отображении на странице входа в случае инициирования приложением запроса на идентификацию пользователя.

Домен приложения используется при необходимости перенаправления пользователя в приложение из веб-страниц Blitz Identity Provider. Перенаправление осуществляется на указанный домен или на переданный в процессе взаимодействия с Blitz Identity Provider специализированный redirect_url, но при этом выполняется сверка, что redirect_url соответствует заданному в настройке приложения домену.

Базовые настройки приложения

Шаг 2. Выбор шаблона страницы входа и настройка логаута. В списке «Шаблон страниц» необходимо выбрать, на основе какого шаблона должна отображаться страница входа при попытке доступа пользователя в данное приложение.

В настройке «Префиксы ссылок возврата при выходе» нужно задать допустимые URL страниц перенаправления пользователя после инициирования приложением логаута. Настройку следует задавать только в случае, если вприложении реализована функция логаута. Допустимо задать один или несколько префиксов ссылок возврата.

Выбор шаблона страницы и настройка логаута

Шаг 3. Настройки протоколов подключения. Необходимо настроить один или несколько протоколов подключения приложения к Blitz Identity Provider.

Настройка протоколов подключения

Конфигурирование протокола подключения приложения на стороне Blitz Identity Provider

После добавления приложения необходимо перейти к редактированию специфических настроек SAML и WS-Federation, нажав на кнопку «Редактировать» (Редактировать). Далее выбрать протокол взаимодействия – SAML – и перейти к его конфигурированию, нажав по ссылке «Сконфигурировать».

В ряде случаев специфические настройки рекомендуется задавать после того, как будет произведено конфигурирование на стороне приложения. Если это конфигурирование не выполнялось, рекомендуется ознакомиться с документацией на подключаемое приложение.

Как минимум, должна быть известна следующая информация:
  • метаданные приложения (поставщика услуг);
  • какие атрибуты должно получить приложение от поставщика идентификации (Blitz Identity Provider) и под какими именами;
  • нужно ли подписывать/шифровать утверждения, передаваемые в приложение.


Подключение по SAML 1.0/1.1/2.0

При подключении приложения по SAML необходимо задать следующие настройки:

  • загрузить SAML-метаданные подключаемого приложения;

  • убедиться, что переключатель SAML-профиля стоит в режиме «SAML 2.0 Web SSO Profile»;

  • в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

  • указать, нужно ли подписывать SAML-атрибуты (SAML Assertions) в ответах Blitz Identity Provider;

  • указать, нужно ли шифровать SAML-атрибуты в ответах Blitz Identity Provider;

  • указать, нужно ли шифровать SAML-идентификаторы (SAML NameIds) в ответах Blitz Identity Provider;

  • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

  • указать, какие SAML-атрибуты пользователя из Blitz Identity Provider передавать в приложение. SAML-атрибуты должны быть предварительно сконфигурированы в разделе SAML консоли управления (описано далее в этом разделе).

Настройки протокола SAML для приложения

Подключение по WS-Federation

При подключении приложения по WS-Federation необходимо задать следующие настройки (Рисунок 52):

  • загрузить метаданные подключаемого приложения;

  • переключатель SAML-профиля установить в режим «WS-Federation Passive Requestor Profile»;

  • в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

  • указать, нужно ли подписывать утверждения (Assertions) в ответах Blitz Identity Provider;

  • указать время жизни утверждений в ответе. Необходимо использовать формат ISO 8601 для указания продолжительности периода , например, PT5M – 5 минут;

  • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

  • указать, какие атрибуты пользователя из Blitz Identity Provider передавать в приложение. Атрибуты должны быть предварительно сконфигурированы в разделе SAML консоли управления (см. далее).

Настройки протокола WS-Federation для приложения

Настройка SAML - атрибутов в Blitz Identity Provider

Для регистрации SAML-атрибутов пользователя в Blitz Identity Provider используется раздел SAML консоли управления.

Для добавления нового SAML-атрибута необходимо выполнить следующую последовательность шагов:

  1. Нажать на ссылку «+ Добавить новый SAML-атрибут».

  2. Ввести:

    • название SAML-атрибута (именно оно будет отображаться при подключении SAML-приложений);

    • источник атрибута (отображаются все атрибуты, определенные в разделе Источники данных);

  3. Нажать «Добавить». Атрибут будет добавлен.

  4. Определить кодировщики атрибутов. Для этого необходимо:

    • нажать на ссылку «Добавить кодировщик»;

    • выбрать тип кодировщика; следует обратить внимание, что тип кодировщика зависит от версии протокола, с которой работает поставщик услуг (подключенное приложение);

    • название SAML-атрибута, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

    • короткое название, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

    • формат имени.

При необходимости можно определить несколько кодировщиков выбранного SAML-атрибута (для этого каждый кодировщик должен относиться к разным типам кодировщиков).

Настройка SAML-атрибутов

Конфигурирование приложения (поставщика услуг)

Конфигурирование приложения должно осуществляться в соответствии с документацией на данное приложение. Если приложение не поддерживает протокол SAML, следует произвести его доработку согласно рекомендациям.

На стороне приложения конфигурирование поставщика идентификации обычно включает в себя:

  • добавление метаданных поставщика идентификации или сертификата ключа электронной подписи. В ряде случаев вместо этого может требоваться указание URL метаданных поставщика идентификации. Обычно он имеет вид : <hostname>/blitz/saml/profile/Metadata/SAML;
  • указание URL аутентификации поставщика идентификации. Обычно имеет вид: <hostname>/blitz/saml/profile/SAML2/Redirect/SSO;
  • указание URL логаута поставщика идентификации. Обычно имеет вид: <hostname>/blitz/saml/profile/SAML2/Redirect/SLO;
  • указание URL издателя SAML. Обычно имеет вид: <hostname>/blitz/saml/;

В приведенных выше ссылках <hostname> – это адрес, на котором установлен Blitz Identity Provider, например https://idp.reaxoft.ru.

Типичные вопросы о том, как настроить приложение для подключения к Blitz Identity Provider по протоколу SAML, приведены ниже.

Вопрос: Где я могу найти метаданные поставщика идентификации Blitz Identity Provider?

Зайдите в раздел SAML консоли управления Blitz Identity Provider. В нем будет указан URL метаданных.

Чтобы загрузить метаданные, просто пройдите по ссылке вида <hostname>/blitz/saml/profile/Metadata/SAML и скопируйте открытый XML документ в приложение.

Вопрос: Где я могу найти сертификат SAML поставщика идентификации Blitz Identity Provider?

Откройте XML-документ с метаданными поставщика идентификации Blitz Identity Provider. Найдите раздел – в нем и располагается сертификат SAML поставщика идентификации. Пример:

Сертификат поставщика идентификации

Иногда для корректной загрузки в приложение перед строкой с сертификатом нужно вставить строку -----BEGIN CERTIFICATE-----, а после – -----END CERTIFICATE-----.

На скриншотах ниже представлены примеры настройки подключения к поставщику идентификации Blitz Identity Provider в приложениях G Suite и Facebook Workplace.

Настройка подключения к поставщику идентификации Blitz Identity Provider в G Suite (Google Apps)

Настройка подключения к поставщику идентификации Blitz Identity Provider в Facebook Workplace