Настройка SAML и WS-Federation

Подключение по SAML 1.0/1.1/2.0

При подключении приложения по SAML необходимо задать следующие настройки:

• загрузить SAML-метаданные подключаемого приложения;

• убедиться, что переключатель SAML-профиля стоит в режиме «SAML 2.0 Web SSO Profile»;

• в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

  • указать, нужно ли подписывать SAML-атрибуты (SAML Assertions) в ответах Blitz Identity Provider;

  • указать, нужно ли шифровать SAML-атрибуты в ответах Blitz Identity Provider;

  • указать, нужно ли шифровать SAML-идентификаторы (SAML NameIds) в ответах Blitz Identity Provider;

  • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

• указать, какие SAML-атрибуты пользователя из Blitz Identity Provider передавать в приложение. SAML-атрибуты должны быть предварительно сконфигурированы в разделе «SAML» консоли управления (см. Настройка SAML-атрибутов).

Подключение по WS-Federation

При подключении приложения по WS-Federation необходимо задать следующие настройки:

• загрузить метаданные подключаемого приложения;

• переключатель SAML-профиля установить в режим «WS-Federation Passive Requestor Profile»;

• в блоке «SAML-профиль» нажать «Сконфигурировать». В появившихся полях указать:

  • указать, нужно ли подписывать утверждения (Assertions) в ответах Blitz Identity Provider;

  • указать время жизни утверждений в ответе. Необходимо использовать формат ISO 8601 для указания продолжительности периода, например, PT5M – 5 минут;

  • указать, нужно ли включать в ответ перечень утверждений с атрибутами пользователей;

• указать, какие атрибуты пользователя из Blitz Identity Provider передавать в приложение. Атрибуты должны быть предварительно сконфигурированы в разделе «SAML» консоли управления (см. Настройка SAML-атрибутов).

Настройка SAML-атрибутов

Для регистрации SAML-атрибутов пользователя в Blitz Identity Provider используется раздел «SAML» консоли управления.

Для добавления нового SAML-атрибута необходимо:

1. Нажать на ссылку «Добавить новый SAML-атрибут».

2. Ввести:

   • название SAML-атрибута (именно оно будет отображаться при подключении SAML-приложений);

   • источник атрибута (отображаются все атрибуты, определенные в разделе «Источники данных»).

3. Нажать «Добавить». Атрибут будет добавлен.

4. Определить кодировщики атрибутов. Для этого необходимо:

   • нажать на ссылку «Добавить кодировщик»;

   • выбрать тип кодировщика; следует обратить внимание, что тип кодировщика зависит от версии протокола, с которой работает поставщик услуг (подключенное приложение);

   • название SAML-атрибута, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

   • короткое название, которое будет передано поставщику услуг (в рамках данного типа кодировщика);

   • формат имени.

При необходимости можно определить несколько кодировщиков выбранного SAML-атрибута (для этого каждый кодировщик должен относиться к разным типам кодировщиков).