Настройка SAML и WS-Federation

Подключение по SAML 1.0/1.1/2.0

При подключении приложения по SAML необходимо задать следующие настройки:

• загрузить SAML-метаданные подключаемого приложения;

• убедиться, что переключатель SAML-профиля стоит в режиме SAML 2.0 Web SSO Profile;

• в блоке SAML-профиль нажать Сконфигурировать. В появившихся полях указать:

  • указать, нужно ли подписывать SAML-атрибуты (SAML Assertions) в ответах Blitz Identity Provider;

  • указать, нужно ли шифровать SAML-атрибуты в ответах Blitz Identity Provider;

  • указать, нужно ли шифровать SAML-идентификаторы (SAML NameIds) в ответах Blitz Identity Provider;

  • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

• указать, какие SAML-атрибуты пользователя из Blitz Identity Provider передавать в приложение. SAML-атрибуты должны быть предварительно сконфигурированы в разделе SAML консоли управления.

Подключение по WS-Federation

При подключении приложения по WS-Federation необходимо задать следующие настройки:

• загрузить SAML-метаданные подключаемого приложения;

• переключатель SAML-профиля установить в режим WS-Federation Passive Requestor Profile;

• в блоке SAML-профиль нажать Сконфигурировать. В появившихся полях указать:

  • указать, нужно ли подписывать утверждения (Assertions) в ответах Blitz Identity Provider;

  • указать время жизни утверждений в ответе. Необходимо использовать формат ISO 8601 для указания продолжительности периода, например, PT5M – 5 минут;

  • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

• указать, какие атрибуты пользователя из Blitz Identity Provider передавать в приложение. Атрибуты должны быть предварительно сконфигурированы в разделе SAML консоли управления.

Загрузка SAML-метаданных

Для загрузки SAML-метаданных приложения можно использовать любой из способов:

• Для загрузки готового XML-файла нажмите Открыть с файловой системы.

  

• Для использования конструктора метаданных нажмите Сгенерировать метаданные. Введите следующие данные:

  • URL сервиса обработчика утверждений (AssertionConsumerService),

  • URL сервиса единого логаута (SingleLogoutService),

  • Сертификат подписи,

  • Сертификат шифрования.

  

  Нажмите Сгенерировать. В результате файл метаданных будет автоматически сгенерирован на основании введенных данных.

Настройка SAML-атрибутов

Для регистрации SAML-атрибутов пользователя в Blitz Identity Provider используется раздел SAML консоли управления.

Для добавления нового SAML-атрибута необходимо:

1. Нажать на ссылку Добавить новый SAML-атрибут.

2. Ввести:

   • название SAML-атрибута (именно оно будет отображаться при подключении SAML-приложений);

   • источник атрибута (отображаются все атрибуты, определенные в разделе Источники данных).

3. Нажать Добавить. Атрибут будет добавлен.

4. Определить кодировщики атрибутов. Для этого необходимо:

   • нажать на ссылку Добавить кодировщик;

   • выбрать тип кодировщика; следует обратить внимание, что тип кодировщика зависит от версии протокола, с которой работает поставщик услуг (подключенное приложение);

   • название SAML-атрибута, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

   • короткое название, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

   • формат имени.

При необходимости можно определить несколько кодировщиков выбранного SAML-атрибута (для этого каждый кодировщик должен относиться к разным типам кодировщиков).