Эта статья относится к устаревшей версии Dion on-premise 2024.05
Документация по актуальной версии Dion on-premise 2024.10 доступна по ссылке.
¶ Введение
Технология единого входа (SSO, Single Sign-On) позволяет пользователю получить доступ ĸ ĸонференциям, используя корпоративные логин и пароль. SSO DION основан на языĸе разметĸи утверждений безопасности (SAML) 2.0.
¶ Поддерживаемые версии ADFS
- Windows Server 2016 AD FS - Windows Server 2016
- Windows Server 2019 AD FS - Windows Server 2019
¶ Сертификат
Для подписи и шифрования необходимо использовать сертификат, который лежит на установочном сервере по адресу:
/home/dion/on_dion/files/имя_домена/certs/ad/
Внимание, использование сертификата для подписи и шифрования является обязательным требованием для работы SSO.
¶ Настройка
- Запустите мастер добавления Relying Party Trust и выберите настройку вручную
2. Добавьте сертификат
Внимание, использование сертификата для подписи и шифрования является обязательным требованием для работы SSO.
3. Добавьте URL DION сервера (https://api-clients-dion.yourdomain.com/v1/auth/sso/saml) в списоĸ доверенных адресов для обращений ĸ поставщиĸу
4. Добавьте Relying party identifier (https://api-clients-dion.yourdomain.com/v1/auth/sso/saml):
5. Выберите подходящую политику управления доступом
6. Создайте правило соответствия атрибутов:
7. Убедитесь в том, что сертификат добавлен в обеих вкладках “Шифрование” и “Подпись”
Внимание, использование сертификата для подписи и шифрования является обязательным требованием для работы SSO.
8. В настройках поставщика установите следующие значения:
- identifiers: https://api-clients-dion.yourdomain.com/v1/auth/sso/saml
- Binding: POST
- URL Logout: https://api-clients-dion.yourdomain.com/v1/auth/slo/saml
- binding: POST
9. Выберите алгоритм шифрования sha-1.
10. Произведите настройку провайдера аутентификации в административной панеле Dion.
Для этого необходимо перейти в раздел Организации - Ваш домен - Общие настройки - Провайдеры аутентификации - Добавить провейдер - Вход по SSO.
В настройках провайдера укажите параметры вашего ADFS:
пример заполнения:
| параметр | значение |
| idp_issuer | https://adfs.YourDomain.com |
| idp_meta_url | https://adfs.YourDomain.com/FederationMetadata/2007-06/FederationMetadata.xml |
| idp_url | https://adfs.YourDomain.com/adfs/ls/ |
| sp_back_url | https://api-clients-dion.YourDomain.com/v1/auth/sso/saml |