Настройка iSpring Online SSO через Azure AD + SAML
Azure Active Directory (Azure AD) - это компонент облачного сервиса Microsoft Azure, который позволяет пользоваться технологией единого входа SSO без необходимости наличия локально установленных служб федерации Active Directory. Фактически это облачная альтернатива Microsoft Active Directory. В этом случае нет необходимости иметь инфраструктуру в локальной среде, установочный процесс довольно прост, а работает он с большинством облачных решений.
Для настройки единого входа с использованием Azure AD +SAML требуется аккаунт Microsoft Azure с активированной Azure AD Premium.
Настройка Azure AD
-
Зайдите в сервис Azure Active Directory. В левом меню выберите пункт Enterprise applications
-
Нажмите кнопку Add на верхней панели, перейдите в галерею приложений и выберите пункт Non-gallery application.
-
В появившемся меню введите название приложения, например, iSpring Learn SSO.
Примечание: Если у аккаунта не активирована Azure AD Premium, то название приложения ввести не получится, а в верхней части окна появится соответствующее предупреждение.
-
Нажмите кнопку Add и подождите немного, пока приложение добавляется. После этого вы будете перенаправлены на экран настройки приложения.
В первую очередь перейдите в пункт меню Users and groups и добавьте пользователей или группы, которые должны иметь доступ к данному приложению (кнопка Add на верхней панели).
-
Далее нажмите на пункт меню Single sign-on. В выпадающем списке Mode выберите SAML-based Sign-on
Нажмите на чекбокс Show advanced URL settings и введите в поля следующие значения:
Identifier
https://yourdomain.ispringlearn.com/module.php/saml/sp/metadata.php/default-sp
Reply URL
https://yourdomain.ispringlearn.com/module.php/saml/sp/saml2-acs.php/default-sp
Relay State
-
В качестве User Identifier выберите user.mail:
-
Отметьте чекбокс View and edit all other user attributes. В появившемся списке удалите существующий атрибут emailaddr, содержащий email пользователя. Для этого нажмите на иконку с тремя вертикальными точками в правой части атрибута и выберите Delete;
-
С помощью Add attribute добавьте атрибут с именем email и значением user.mail:
По желанию все остальные атрибуты можно удалить – для работы SSO они не потребуются.
-
Нажмите на надпись Create new certificate. В появившемся окне выберите дату истечения сертификата и нажмите Save.
-
Отметьте чекбоксы Make new certificate active и Show advanced certificate signing settings. В появившемся комбобоксе Signing Algorithm выберите SHA-1.
-
Нажмите на надпись Configure iSpring Learn SSO. Появится окно с текстовой информацией, которую нужно использовать при настройке со стороны iSpring Learn.
Настройка iSpring Learn
-
Войдите в свой аккаунт и перейдите на страницу https://yourdomain.ispringlearn.com/settings/sso
-
Заполните поля на странице настроек следующими данными из п.10:
Metadata URL
SAML Entity ID
Sign On Url
SAML Single Sign-On Service URL
Logout Url
Sign-Out URL
Вернитесь на предыдущую страницу и используйте значение в поле Thumbprint сертификата в качестве значения настройки Certificate Fingerprint.