ADFS как клиент для Blitz
Настройка интеграции
Основная настройка интеграции заключается в обмене xml между ADFS и BlitzIdp.
xml с настройками Blitz: https://idp.contoso.com/blitz/saml/profile/Metadata/SAML
xml с настройками ADFS: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml
Настройка ADFS
В оснастке управления ADFS добавьте внешний провайдер, данные для настройки импортируйте из xml с настройками Blitz. Название на следующем шаге - любое.
После создания провайдера в его настройках измените алгоритм хэширования на SHA-1
Настройка Blitz
Создайте новое приложение в Консоли администратора с идентификатором http://adfs.contoso.com/adfs/services/trust (проверить идентификатор можно в xml из ADFS, значение параметра "entityID") и значением домена adfs.contoso.com. После создания приложения сконфигурируйте в нём протокол SAML:
Метаданные: в метаданные загрузите информацию из xml c метаданными ADFS - FederationMetadata.xml.
SAML профиль: выберите SAML 2.0 Web SSO Profile, Подписывать утверждения - always, Шифровать утверждения - never, Шифровать идентификаторы (NameIds) - never, активируйте настройку "Включить передачу SAML-утверждений о пользователе в специальном блоке Attribute Statement".
Атрибуты пользователя: выберите, какие из настроенных аnрибутов будут переданы в ADFS. О их настройке ниже:
Настройка передачи атрибутов Blitz -> ADFS
Приложение 1. Атрибуты и названия claim внешнего провайдера для их автоматического маппинга в ADFS
| Name | Description | URI |
|---|---|---|
| E-Mail Address | The e-mail address of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Given Name | The given name of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Name | The unique name of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | The user principal name (UPN) of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Common Name | The common name of the user | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x E-Mail Address | The e-mail address of the user when interoperating with AD FS 1.1 or AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Group | A group that the user is a member of | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | The UPN of the user when interoperating with AD FS 1.1 or AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Role | A role that the user has | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | The surname of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | The private identifier of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Name Identifier | The SAML name identifier of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Authentication Method | The method used to authenticate the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| Deny Only Group SID | The deny-only group SID of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Deny only primary SID | The deny-only primary SID of the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| Deny only primary group SID | The deny-only primary group SID of the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Group SID | The group SID of the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| Primary group SID | The primary group SID of the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primary SID | The primary SID of the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Windows account name | The domain account name of the user in the form of <domain>\<user> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |