Настройка iSpring Online SSO через Azure AD + SAML

Azure Active Directory (Azure AD) - это компонент облачного сервиса Microsoft Azure, который позволяет пользоваться технологией единого входа SSO без необходимости наличия локально установленных служб федерации Active Directory. Фактически это облачная альтернатива Microsoft Active Directory. В этом случае нет необходимости иметь инфраструктуру в локальной среде, установочный процесс довольно прост, а работает он с большинством облачных решений.

Для настройки единого входа с использованием Azure AD +SAML требуется аккаунт Microsoft Azure с активированной Azure AD Premium.

Настройка Azure AD

  1. Зайдите в сервис Azure Active Directory. В левом меню выберите пункт Enterprise applications

  2. Нажмите кнопку Add на верхней панели, перейдите в галерею приложений и выберите пункт Non-gallery application.

  3. В появившемся меню введите название приложения, например, iSpring Learn SSO.

    Примечание: Если у аккаунта не активирована Azure AD Premium, то название приложения ввести не получится, а в верхней части окна появится соответствующее предупреждение.

  4. Нажмите кнопку Add и подождите немного, пока приложение добавляется. После этого вы будете перенаправлены на экран настройки приложения.

    В первую очередь перейдите в пункт меню Users and groups и добавьте пользователей или группы, которые должны иметь доступ к данному приложению (кнопка Add на верхней панели).

  5. Далее нажмите на пункт меню Single sign-on. В выпадающем списке Mode выберите SAML-based Sign-on

    Нажмите на чекбокс Show advanced URL settings и введите в поля следующие значения:

    Identifier

    https://yourdomain.ispringlearn.com/module.php/saml/sp/metadata.php/default-sp

    Reply URL

    https://yourdomain.ispringlearn.com/module.php/saml/sp/saml2-acs.php/default-sp

    Relay State

    https://yourdomain.ispringlearn.com/sso/login

  6. В качестве User Identifier выберите user.mail:

  7. Отметьте чекбокс View and edit all other user attributes. В появившемся списке удалите существующий атрибут emailaddr, содержащий email пользователя. Для этого нажмите на иконку с тремя вертикальными точками в правой части атрибута и выберите Delete;

  8. С помощью Add attribute добавьте атрибут с именем email и значением user.mail:

    По желанию все остальные атрибуты можно удалить – для работы SSO они не потребуются.

  9. Нажмите на надпись Create new certificate. В появившемся окне выберите дату истечения сертификата и нажмите Save.

  10. Отметьте чекбоксы Make new certificate active и Show advanced certificate signing settings. В появившемся комбобоксе Signing Algorithm выберите SHA-1.

  11. Нажмите на надпись Configure iSpring Learn SSO. Появится окно с текстовой информацией, которую нужно использовать при настройке со стороны iSpring Learn.

Настройка iSpring Learn

  1. Войдите в свой аккаунт и перейдите на страницу https://yourdomain.ispringlearn.com/settings/sso

  2. Заполните поля на странице настроек следующими данными из п.10:

    Metadata URL

    SAML Entity ID

    Sign On Url

    SAML Single Sign-On Service URL

    Logout Url

    Sign-Out URL

    Вернитесь на предыдущую страницу и используйте значение в поле Thumbprint сертификата в качестве значения настройки Certificate Fingerprint.