Чтобы настроить рабочий метод аутентификации, сначала нужно создать сервер аутентификации.
На первом этапе необходимо выбрать метод аутентификации.
Нажмите Добавить сервер.
Выберите метод из выпадающего меню.
Функция Authentication Server является динамической и отображает только те поля, которые необходимы для выбранного вами метода аутентификации.
Заполните поля точно, чтобы обеспечить правильное подключение к серверам.
Опции для LDAP, LDAP-MD5, LSAPS, LDAPS-MD5, Radius и SAML
Вариант
Описание
Метод
Выберите метод аутентификации
LDAP - базовый LDAP с именами пользователей и паролями, отправляемыми открытым текстом на LDAP-сервер.
LDAP-MD5 - базовый LDAP с именем пользователя в виде открытого текста и паролем, хэшированным MD5 для повышения безопасности.
LDAPS - LDAP через SSL. Отправляет пароль открытым текстом по зашифрованному туннелю между ADC и сервером LDAP.
LDAPS-MD5 - LDAP через SSL. Пароль хешируется MD5 для дополнительной безопасности в зашифрованном туннеле между ADC и сервером LDAP.
Имя
Задайте серверу имя для идентификации - это имя будет использоваться во всех правилах.
Адрес сервера
Добавьте IP-адрес или имя хоста сервера аутентификации.
Порт
Для LDAP и LDAPS порты по умолчанию установлены на 389 и 636.
Для Radius обычно используется порт 1812.
Для SAML порты устанавливаются в ADC.
Домен
Добавьте имя домена для сервера LDAP.
Формат входа в систему
Используйте нужный вам формат входа.
Имя пользователя - при выборе этого формата необходимо ввести только имя пользователя. Любая информация о пользователе и домене, введенная пользователем, удаляется, и используется информация о домене с сервера.
Имя пользователя и домен - пользователь должен ввести полный синтаксис домена и имени пользователя. Пример: mycompany\jdoe ИЛИ jdoe@mycompany. Информация о домене, введенная на уровне сервера, игнорируется.
Пусто - АЦП примет все, что введет пользователь, и отправит это на сервер аутентификации. Эта опция используется при использовании MD5.
Описание
Добавить описание
База поиска
Это значение является отправной точкой для поиска в базе данных LDAP.
Пример dc=mycompany,dc=local
Условия поиска
Условия поиска должны соответствовать RFC 4515. Пример:
Выполните поиск пользователя администратора домена на сервере каталогов.
Пароль
Пароль для пользователя администратора домена.
Мертвое время
Количество времени, по истечении которого неактивный сервер снова помечается как активный
Параметры аутентификации SAML
ВАЖНО: При настройке аутентификации через SAML необходимо создать приложение Enterprise App для Entra ID Authentication. Инструкции по этому вопросу приведены в главе Настройка приложения Entra ID Authentication в Microsoft Entra.
Вариант
Описание
Метод
Выберите метод аутентификации
LDAP - базовый LDAP с именами пользователей и паролями, отправляемыми открытым текстом на LDAP-сервер.
LDAP-MD5 - базовый LDAP с именем пользователя в виде открытого текста и паролем, хэшированным MD5 для повышения безопасности.
LDAPS - LDAP через SSL. Отправляет пароль открытым текстом по зашифрованному туннелю между ADC и сервером LDAP.
LDAPS-MD5 - LDAP через SSL. Пароль хешируется MD5 для дополнительной безопасности в зашифрованном туннеле между ADC и сервером LDAP.
Имя
Задайте серверу имя для идентификации - это имя будет использоваться во всех правилах.
Поставщик идентификационных данных
Соответствие сертификата IdP
IdP Certificate Match - это процесс проверки соответствия цифрового сертификата, используемого поставщиком идентификационных данных (IdP) для подписи утверждений SAML, сертификату, которому доверяет поставщик услуг (SP). Эта проверка гарантирует, что IdP является легитимным и что отправляемые им утверждения являются подлинными и неизменными. SP обычно хранит сертификат IdP в своих метаданных и сравнивает сертификат, встроенный в утверждения SAML, с сохраненным сертификатом, чтобы определить соответствие.
Идентификатор субъекта IdP
SAML IdP Entity ID - это глобально уникальный идентификатор, который служит окончательным адресом провайдера идентификации (IdP) в экосистеме Security Assertion Markup Language (SAML). Этот идентификатор обычно представляет собой URL или URI, который однозначно отличает IdP от других субъектов, участвующих в процессах аутентификации и авторизации на основе SAML. Он играет важную роль в установлении доверия и обеспечении безопасного взаимодействия между IdP, поставщиками услуг (SP) и пользователями.
URL-адрес IdP SSO
IdP SSO URL, сокращение от Single Sign-On URL, - это определенный URL конечной точки, предоставляемый поставщиком идентификационных данных (IdP), который служит шлюзом аутентификации для инициирования сеансов единого входа (SSO). Перенаправляя пользователя на этот URL, IdP предлагает ему пройти аутентификацию, используя свои учетные данные, и после успешной аутентификации перенаправляет его обратно к поставщику услуг (SP) с утверждением, содержащим его идентификационные данные. Это утверждение затем проверяется SP, что позволяет пользователю получить доступ к ресурсам SP без необходимости повторной аутентификации.
URL-адрес выхода из IdP
SAML IdP Log off URL - это специальная конечная точка провайдера идентификации (IdP), которая инициирует и управляет процессом выхода из сеансов единого входа (SSO). Когда пользователь нажимает кнопку выхода из приложения, приложение перенаправляет его на URL-адрес выхода IdP. После этого IdP аннулирует сеанс пользователя на всех доверяющих сторонах, связанных с аутентификацией SSO, и отправляет ответ о выходе обратно в приложение, фактически выводя пользователя из всех подключенных приложений.
Сертификат IdP
Сертификат SAML IdP - это цифровой сертификат X.509, выданный доверенным органом поставщику идентификационных данных (IdP), который участвует в протоколах аутентификации Security Assertion Markup Language (SAML). Этот сертификат служит безопасным средством проверки личности IdP и удостоверения целостности и конфиденциальности сообщений SAML, передаваемых между IdP и поставщиками услуг (SP).
Вы можете выбрать сертификат IdP, который будет установлен в ADC, с помощью выпадающего меню.
SP Entity ID - это уникальный идентификатор, который служит глобальным адресом для конкретного поставщика услуг (SP) в контексте протокола SAML. Это стандартизированный способ идентификации SP, который обычно представляет собой URL или другой URI, указывающий на метаданные SAML SP, содержащие такую важную информацию, как сертификаты шифрования и конечные точки аутентификации.
Сертификат подписи SP
Сертификат подписи SAML SP - это сертификат X.509, используемый поставщиком услуг (SP) для подписи ответов SAML, обеспечивающий подлинность и целостность сообщений, которыми обмениваются SP и поставщик идентификационных данных (IdP) при аутентификации с помощью единого входа (SSO). SP подписывает ответ с помощью своего закрытого ключа, а IdP проверяет подпись с помощью открытого ключа, связанного с сертификатом, подтверждая личность отправителя и то, что содержимое сообщения не было подделано.
SP Таймаут сеанса
SP Session Timeout - это максимальный срок, в течение которого сеанс аутентификации пользователя считается действительным на стороне поставщика услуг (SP) после успешного единого входа в систему (SSO) через поставщика идентификационных данных (IdP). По истечении указанного времени SP завершает сессию и требует от пользователя повторной аутентификации для получения доступа к защищенным ресурсам. Этот механизм помогает защитить от несанкционированного доступа и гарантирует, что пользовательские сессии не будут простаивать в течение длительного времени.
