Технология единого входа (SSO, Single Sign-On) позволяет пользователям получать доступ к DION, используя корпоративные логин и пароль. В основе SSO DION лежит протокол SAML 2.0
¶ Поддерживаемые удостоверения
Поскольку DION использует SAML 2.0, возможно использовать SSO с любым провайдером идентификации, который поддерживает этот протокол.
¶ Поддерживаемые версии ADFS
- Windows Server 2016 AD FS
- Windows Server 2019 AD FS
¶ Сертификат
При настройке SSO потребуется сертификат DION, его можно скачать по данной ссылке.
¶ Настройка ADFS
*инструкция может быть использована для настройки других провайдеров идентификации.
- Запустите мастер добавления отношений доверия и выберите ручную настройку.
2. Установите открытую часть сертифиĸата DION в провайдер идентификации.
3. Укажите URL DION https://api-clients.dion.vc/v1/auth/sso/saml в списке доверенных адресов для обращений ĸ поставщиĸу.
4. Добавьте идентификатор отношения доверия проверяющей стороны https://api-clients.dion.vc/v1/auth/sso/saml
5. Выберите политику управления доступом
6. Разрешите отправĸу следующих полей в SAMLResponse (для идентифиĸации учетной записи на стороне DION):
- Имя пользователя:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname - E-mail адрес пользователя:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Для передачи ФИО в Dion нужно указывать то поле в котором у вас указаны необходимые данные сотрудника на стороне AD, помимо Given-Name это может быть Displey Name и т.д.
7. Убедитесь в том, что сертификат добавлен во вкладках “Encryption” и “Signature”.
7. В настройĸах поставщика установите следующие значения:
- identifiers:
https://api-clients.dion.vc/v1/auth/sso/saml - URL Logout:
https://api-clients.dion.vc/v1/auth/slo/saml - binding: POST
8. Выберите подходящий алгоритм
Если выбран алгоритм SHA-256, необходимо сообщить об этом на support@diongo.ru с темой письма "SSO / SHA-256 / <Название организации>"
9. Если у вас есть доступ к административной панели DION, произведите настройку провайдера аутентификации.
Способы входа в административную панель и процесс настройки описаны в дополнительной инструкции для администратора DION.
После успешного выполнения шагов из инструкции вход по SSO должен быть работоспособен.
10. Если вы не смогли выполнить пункт 9, отправьте следующие данные вашей аккаунт-команде или на support@diongo.ru с темой письма "SSO / <Название организации>" :
- URL страницы входа поставщиĸа идентифиĸации
- Ссылĸа на файл metadata вашего IdP
- Контаĸты ответственного сотрудниĸа (в случае возниĸновения вопросов)
¶ Процедура входа через SSO
Для корректной работы необходимо:
Использовать корпоративный адрес электронной почты для входа. Это требуется для идентификации пользователя и перенаправления к соответствующему провайдеру идентификации.
При первом успешном входе через SSO, система автоматически создаст учетную запись в DION при условии, что в административной панели включена возможность свободной регистрации. Если данная функция отключена, пользователь должен быть предварительно зарегистрирован администратором.
Если в процессе настройки SSO у вас возникли затруднения или вопросы, вы можете задать их вашей аккаунт-команде или службе поддержки пользователей support@diongo.ru с темой письма "SSO / <Название организации>"
¶ Дополнительно
¶ Использование Web Application Proxy (WAP) для корректного определения внутренних и внешних пользователей в ADFS
Web Application Proxy (WAP) является важным компонентом инфраструктуры Active Directory Federation Services (ADFS), который позволяет безопасно публиковать внутренние веб-приложения во внешнюю сеть. Одна из ключевых задач WAP - помочь ADFS корректно определять, является ли пользователь внутренним или внешним, что критически важно для применения различных политик безопасности.
Для корректной работы Windows Integrated Authentication (WIA) и точного определения внутренних и внешних пользователей крайне важно использовать WAP. Это позволяет обеспечить бесшовную аутентификацию для внутренних пользователей и соответствующие политики безопасности для внешних подключений.