Сопоставление групп пользователей в Microsoft Active Directory Federation Services

Вы можете использовать сервис Active Directory Federation Services (AD FS) для аутентификации пользователей в организации.

Чтобы настроить сопоставление групп пользователей в AD FS и групп пользователей в федерации удостоверений:

1. Соберите данные о ферме AD FS.
2. Создайте федерацию Yandex Cloud Organization.
3. Добавьте сертификат AD FS в федерацию.
4. Создайте и настройте отношение доверия на стороне AD FS.
5. Настройте сопоставление атрибутов на стороне AD FS.
6. Настройте сопоставление групп на стороне федерации.
7. Проверьте работу аутентификации.

Перед началом работыПеред началом работы

Убедитесь, что выполнены следующие условия:

1. Есть доступ к MMC-оснастке Active Directory Users and Computers, через которую можно управлять доменными компьютерами, пользователями и группами.

2. Есть настроенная ферма AD FS с одним или несколькими действующими сертификатами типа Token-signing для подписи токенов.

3. Есть доступ к следующим инструментам для управления этой фермой:

   • MMC-оснастка AD FS Management.
   • Модуль PowerShell для управления AD FS.

Соберите данные о ферме AD FSСоберите данные о ферме AD FS

1. Получите и сохраните сертификат, который будет использоваться для подписи сообщений от AD FS.

   Чтобы получить сертификат типа Token-Signing в формате Base64, выполните команды с помощью PowerShell, указав путь, по которому нужно сохранить сертификат:

   $ADFS_CERT_PATH = "<путь_к_сертификату>/adfs_certificate.cer"
   
   $TEMP_CERT = (Get-AdfsCertificate -CertificateType Token-Signing |
                   where {$_.IsPrimary -eq $true} | Select-Object -First 1
                ).Certificate.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert)
   
   @(
       '-----BEGIN CERTIFICATE-----'
       [System.Convert]::ToBase64String($TEMP_CERT, 'InsertLineBreaks')
       '-----END CERTIFICATE-----'
   ) | Out-File -FilePath $ADFS_CERT_PATH -Encoding ascii
   

   Сертификат будет сохранен под именем adfs_certificate.cer.

2. Получите и сохраните реквизиты, которые потребуются при настройке федерации удостоверений:

   1. Получите идентификатор сервиса федераций (Federation Service identifier):

      Get-AdfsProperties | Select Identifier
      

      Идентификатор имеет вид:

      http://<имя_сервиса_федераций>/adfs/services/trust
      

   2. Получите эндпоинт сервиса федераций:

      Get-AdfsEndpoint -AddressPath /adfs/ls/ | Select FullUrl
      

      Эндпоинт имеет вид:

      https://<имя_сервиса_федераций>/adfs/ls/
      

   Примечание

   Присутствие http:// в идентификаторе не означает, что данные будут передаваться в открытом виде по протоколу HTTP.

   Все взаимодействие между AD FS и Yandex Cloud будет происходить через эндпоинт по протоколу HTTPS.

Создайте федерацию Yandex Cloud OrganizationСоздайте федерацию Yandex Cloud Organization

Добавьте сертификат AD FS в федерациюДобавьте сертификат AD FS в федерацию

Чтобы при аутентификации сервис Cloud Organization мог проверить сертификат AD FS, добавьте сертификат в федерацию:

Создайте и настройте отношение доверия на стороне AD FSСоздайте и настройте отношение доверия на стороне AD FS

В роли поставщика удостоверений (IdP) выступает AD FS, в котором настроено отношение доверия с проверяющей стороной (Relying Party Trust). Чтобы создать такое отношение и настроить его:

1. Откройте MMC-оснастку AD FS Management.

2. Откройте в дереве консоли контекстное меню элемента AD FS → Relying Party Trusts и выберите пункт Add Relying Party Trust.

   Откроется мастер добавления отношения доверия с проверяющей стороной (Add Relying Party Trust Wizard).

3. Выберите опцию Claims aware на шаге Welcome. Нажмите кнопку Start.

4. Выберите опцию Enter data about the relying party manually на шаге Select Data Source. Нажмите кнопку Next.

5. Укажите имя отношения доверия (например, Yandex Cloud) и, при необходимости, его описание на шаге Specify Display Name. Нажмите кнопку Next.

6. Пропустите шаг Configure Certificate, нажав кнопку Next.

7. Укажите URL для перенаправления на шаге Configure URL:

   1. Включите опцию Enable support for the SAML 2.0 Web SSO protocol.

   2. Укажите URL для перенаправления в поле Relying party SAML 2.0 SSO service URL.

      URL для перенаправления имеет вид:

      https://console.cloud.yandex.ru/federations/<идентификатор_федерации>
      

      Как получить идентификатор федерации

      1. Войдите в сервис Yandex Cloud Organization.

      2. На панели слева выберите Федерации.

      3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

   3. Нажмите кнопку Next.

8. Укажите идентификатор проверяющей стороны на шаге Configure Identifiers:

   1. Укажите тот же URL для перенаправления, который использовался на предыдущем шаге, в поле Relying party identifier.

   2. Нажмите кнопку Add.

   3. Нажмите кнопку Next.

9. Включите опцию I do not want to configure access control policies at this time. No user will be permitted access for this application на шаге Choose Access Control Policy. Нажмите кнопку Next.

   Политики контроля доступа будут настроены позднее.

10. Проверьте на шаге Ready to Add Trust, что все параметры заданы корректно. Нажмите кнопку Next.

11. Отключите опцию Configure claims issuance policy for this application на шаге Finish. Нажмите кнопку Close.

    Политики для утверждений (claims) будут настроены позднее.

12. (Опционально) Если при создании федерации в Yandex Cloud Organization вы включили опцию Подписывать запросы аутентификации, настройте связанные с этим параметры для отношения доверия:

    1. Откройте контекстное меню созданного отношения доверия и выберите пункт Properties.

       Откроется окно со свойствами отношения доверия.

    2. Перейдите на вкладку Encryption и добавьте сертификат, полученный ранее:

       1. Нажмите кнопку Browse.
       2. Выберите файл с сертификатом (например, YandexCloud.cer).

    3. Перейдите на вкладку Signature и добавьте этот же сертификат:

       1. Нажмите кнопку Add.
       2. Выберите файл с сертификатом.

    4. Нажмите кнопку OK.

    5. Включите обязательные шифрование утверждений и подпись запросов для созданного отношения доверия:

       Set-AdfsRelyingPartyTrust `
           -TargetName "Yandex Cloud" `
           -EncryptClaims $true `
           -SignedSamlRequestsRequired $true `
           -SamlResponseSignature MessageAndAssertion
       

Настройте сопоставление атрибутов на стороне AD FSНастройте сопоставление атрибутов на стороне AD FS

Создайте пользователяСоздайте пользователя

1. Откройте MMC-оснастку Active Directory Users and Computers.

2. Выберите в дереве консоли организационное подразделение (Organization Unit, OU), в котором нужно создать пользователя, затем откройте контекстное меню подразделения и выберите пункт New → User.

   Откроется мастер добавления нового объекта (New Object - User).

3. Укажите сведения о пользователе:

   • User logon name — логин пользователя (например adfs_demo_user) в комбинации с доменом (например example.com).

     Примечание

     Далее будет использоваться имя домена example.com. Если ваш домен имеет другое имя — скорректируйте дальнейшие шаги.

   • Full name — полное имя пользователя, например Ivan Ivanov.

   При необходимости можно заполнить другие сведения о пользователе.

4. Нажмите кнопку Next.

5. Укажите пароль и настройте связанные с ним политики:

   1. Введите пароль и подтверждение пароля.

   2. (Опционально) Отключите опцию User must change password at next login.

      Если этого не сделать, то пользователю потребуется сменить пароль при первой аутентификации в AD FS.

   3. Убедитесь, что опция Account is disabled отключена.

      Важно

      В противном случае учетная запись этого пользователя будет отключена.

      Пользователь не сможет выполнять аутентификацию в AD FS и работать с Yandex Cloud.

   4. (Опционально) Выберите другие опции, соответствующие нужным парольным политикам.

6. Нажмите кнопку Next, затем — кнопку Finish.

Создайте группуСоздайте группу

1. Откройте MMC-оснастку Active Directory Users and Computers.

2. Выберите в дереве консоли организационное подразделение, в котором нужно создать группу, затем откройте контекстное меню подразделения и выберите пункт New → Group.

   Откроется мастер добавления нового объекта (New Object - Group).

3. Укажите сведения о группе:

   • Group name — имя группы, например adfs_group.

   • Group name (pre-Windows 2000) — имя группы в устаревшем формате для использования с системами старше Windows 2000.

     По умолчанию это имя совпадает с выбранным именем группы. При необходимости можно выбрать другое значение.

4. Задайте настройки группы:

   • Group scope — Global.
   • Group type — Security.

5. Нажмите кнопку OK.

Добавьте пользователя в группуДобавьте пользователя в группу

1. Откройте MMC-оснастку Active Directory Users and Computers.

2. Выберите в дереве консоли организационное подразделение, в котором находится группа adfs_group.

3. Выберите группу adfs_group в панели результатов, затем откройте контекстное меню группы и выберите пункт Properties.

   Откроется окно со свойствами группы.

4. Перейдите на вкладку Members и нажмите кнопку Add.

5. Введите логин пользователя adfs_demo_user и нажмите кнопку OK.

6. Нажмите кнопку ОК.

Настройте политику контроля доступаНастройте политику контроля доступа

Эта политика разрешает выполнять аутентификацию пользователей из созданной ранее группы.

Чтобы настроить политику:

1. Откройте MMC-оснастку AD FS Management.

2. Выберите в дереве консоли элемент AD FS → Relying Party Trusts.

3. Выберите отношение доверия Yandex Cloud в панели результатов.

4. Откройте контекстное меню этого отношения доверия и выберите пункт Edit Access Control Policy.

   Откроется окно со списком политик.

5. Выберите политику Permit Specific Group из списка Choose an access control policy.

6. Нажмите на ссылку parameter в поле Policy с описанием выбранной политики.

7. Нажмите кнопку Add.

8. Введите имя группы adfs_group и нажмите кнопку OK.

9. Нажмите кнопку OK в окне Select Groups.

10. Нажмите кнопку OK в окне Edit Access Control Policy for Yandex Cloud.

Настройте сопоставление атрибутов LDAPНастройте сопоставление атрибутов LDAP

1. Откройте MMC-оснастку AD FS Management.

2. Выберите в дереве консоли элемент AD FS → Relying Party Trusts.

3. Выберите отношение доверия Yandex Cloud в панели результатов.

4. Откройте контекстное меню этого отношения доверия и выберите пункт Edit Claim Issuance Policy.

   Откроется окно со списком политик.

5. Нажмите кнопку Add Rule.

   Откроется мастер добавления правила для трансформации утверждения.

6. Выберите пункт Send LDAP Attributes as Claims из выпадающего списка Claim rule template на шаге Choose rule type. Нажмите кнопку Next.

7. Задайте настройки правила на шаге Configure Claim Rule:

   • Claim rule name — имя правила, например LDAP Mappings.

   • Attribute store — Active Directory.

   • Mapping of LDAP attributes to outgoing claim types — список сопоставлений в виде пар «атрибут/тип исходящего утверждения».

     Добавьте в список следующие обязательные сопоставления, которые необходимы для корректного взаимодействия с Yandex Cloud:

     Атрибут	Тип исходящего утверждения
     User-Principal-Name Атрибут, по которому будет идентифицироваться пользователь. В данном случае пользователь будет идентифицироваться по User Principal Name (UPN). UPN для созданного ранее пользователя имеет вид: adfs_demo_user@example.com Вы можете использовать другой атрибут при условии, что он будет неизменным и уникальным, чтобы можно было однозначно идентифицировать пользователя по этому атрибуту. В этом случае скорректируйте дальнейшие шаги.	Name ID
     Token-Groups - Unqualified Names Перечень групп, к которым принадлежит пользователь. Этот перечень будет использоваться в ходе сопоставления групп при аутентификации пользователя в Yandex Cloud. В данном случае будут передаваться короткие имена групп (например adfs_group, Domain Users) без указания их принадлежности к домену. Вы можете использовать другой атрибут из семейства Token-Groups, например Token-Groups as SIDs. В этом случае скорректируйте дальнейшие шаги.	Group

     Совет

     При необходимости добавьте дополнительные сопоставления для передачи других поддерживаемых атрибутов пользователя.

8. Нажмите кнопку Finish.

9. Нажмите кнопку OK.

Настройте сопоставление групп на стороне федерацииНастройте сопоставление групп на стороне федерации

Проверьте работу аутентификацииПроверьте работу аутентификации

1. Откройте браузер в гостевом режиме или режиме инкогнито.

   Это действие необходимо выполнять с компьютера, который входит в домен и имеет доступ к AD FS.

2. Перейдите по URL для входа в консоль:

   https://console.cloud.yandex.ru/federations/<идентификатор_федерации>
   

   Как получить идентификатор федерации

   1. Войдите в сервис Yandex Cloud Organization.

   2. На панели слева выберите Федерации.

   3. Выберите нужную федерацию и на странице с информацией о ней скопируйте значение поля Идентификатор.

   Если все настроено правильно, браузер перенаправит вас на страницу аутентификации в AD FS.

3. Введите реквизиты пользователя adfs_demo_user@example.com, созданного ранее, и нажмите кнопку Sign in.

   После успешной аутентификации IdP-сервер перенаправит вас по URL https://console.cloud.yandex.ru/federations/<идентификатор_федерации>, который вы указали в настройках отношения доверия, а после — на главную страницу консоли управления.

4. Убедитесь, что пользователь, от имени которого был выполнен вход, входит в группу yc-demo-group и у него есть права на просмотр ресурсов в соответствии с ролью, назначенной для группы.