Настройка iSpring Online SSO через Azure AD + SAML

Azure Active Directory (Azure AD) - это компонент облачного сервиса Microsoft Azure, который позволяет пользоваться технологией единого входа SSO без необходимости наличия локально установленных служб федерации Active Directory. Фактически это облачная альтернатива Microsoft Active Directory. В этом случае нет необходимости иметь инфраструктуру в локальной среде, установочный процесс довольно прост, а работает он с большинством облачных решений.

Для настройки единого входа с использованием Azure AD +SAML требуется аккаунт Microsoft Azure с активированной Azure AD Premium.

Настройка Azure AD

1. Зайдите в сервис Azure Active Directory. В левом меню выберите пункт Enterprise applications

   

2. Нажмите кнопку Add на верхней панели, перейдите в галерею приложений и выберите пункт Non-gallery application.

   

3. В появившемся меню введите название приложения, например, iSpring Learn SSO.

   

   Примечание: Если у аккаунта не активирована Azure AD Premium, то название приложения ввести не получится, а в верхней части окна появится соответствующее предупреждение.

4. Нажмите кнопку Add и подождите немного, пока приложение добавляется. После этого вы будете перенаправлены на экран настройки приложения.

   В первую очередь перейдите в пункт меню Users and groups и добавьте пользователей или группы, которые должны иметь доступ к данному приложению (кнопка Add на верхней панели).

   

5. Далее нажмите на пункт меню Single sign-on. В выпадающем списке Mode выберите SAML-based Sign-on

   

   Нажмите на чекбокс Show advanced URL settings и введите в поля следующие значения:

   Identifier	https://yourdomain.ispringlearn.com/module.php/saml/sp/metadata.php/default-sp
   Reply URL	https://yourdomain.ispringlearn.com/module.php/saml/sp/saml2-acs.php/default-sp
   Relay State	https://yourdomain.ispringlearn.com/sso/login

   

6. В качестве User Identifier выберите user.mail:

   

7. Отметьте чекбокс View and edit all other user attributes. В появившемся списке удалите существующий атрибут emailaddr, содержащий email пользователя. Для этого нажмите на иконку с тремя вертикальными точками в правой части атрибута и выберите Delete;

8. С помощью Add attribute добавьте атрибут с именем email и значением user.mail:

   

   По желанию все остальные атрибуты можно удалить – для работы SSO они не потребуются.

9. Нажмите на надпись Create new certificate. В появившемся окне выберите дату истечения сертификата и нажмите Save.

   

10. Отметьте чекбоксы Make new certificate active и Show advanced certificate signing settings. В появившемся комбобоксе Signing Algorithm выберите SHA-1.

    

11. Нажмите на надпись Configure iSpring Learn SSO. Появится окно с текстовой информацией, которую нужно использовать при настройке со стороны iSpring Learn.

Настройка iSpring Learn

1. Войдите в свой аккаунт и перейдите на страницу https://yourdomain.ispringlearn.com/settings/sso

2. Заполните поля на странице настроек следующими данными из п.10:

   Metadata URL	SAML Entity ID
   Sign On Url	SAML Single Sign-On Service URL
   Logout Url	Sign-Out URL

   Вернитесь на предыдущую страницу и используйте значение в поле Thumbprint сертификата в качестве значения настройки Certificate Fingerprint.