...

Сквозная авторизация в ELMA без установки дополнительного приложения

Тема в разделе "Записки технической поддержки", создана пользователем veis, 18 окт 2022.

  1. veis

    veis Administrator

    Подробное описание настройки сквозной авторизации:

    ELMA3 https://www.elma-bpm.ru/KB/help/RU/...ough_autorization_without_add_app_index.html#

    ELMA4.0 https://www.elma-bpm.ru/KB/article-7544.html

    ELMA4.1 https://www.elma-bpm.ru/help4/single-sign-on.html


    В данном примере рассматриваются настройки LDAP для сервера Microsoft Active Directory. Для настройки сквозной авторизации без установки дополнительного приложения нужно выполнить следующие действия.

    1. Включить IIS-WindowsAuthentication на сервере ELMA, в терминале необходимо выполнить команду и перезагрузить сервер:

    dism /online /enable-feature /featurename:IIS-WindowsAuthentication

    2. Настройте авторизацию через Active Directory в веб-интерфейсе ELMA

    Интеграция с LDAP-сервером в базе знаний: https://www.elma-bpm.ru/KB/help/Platform/content/Admin_SystemConfig_LDAP_index.html

    Основные настройки в веб-интерфейсе на сервере ELMA – Администрирование – Настройки системы – Безопасность – Внешние модули авторизации, в окне необходимо выбрать тип модуля авторизации Active Directory и нажать на кнопку Добавить.

    Адрес сервера: 192.168.0.1:389

    Пользователь: company\LDAPAuth - учетная запись с правами, достаточными для обзора каталога

    Пароль: Пароль учётной записи

    Тип авторизации: Базовая

    Шаблон авторизации: company\{$login}

    Путь к пользователям: cn=users,dc=company,dc=local – для указания пути к пользователям используется синтаксис строк подключения ADSI.

    Параметр "Логин": sAMAccountName

    Параметр "Имя": givenName

    Параметр "Фамилия": SN

    Параметр "Отчество"

    Параметр "Email": mail

    Фильтр для импорта и синхронизации: (objectClass=person)

    Опционально если планируется синхронизация с Active Directory то Фильтр для импорта и синхронизации выглядит следующим образом:

    (&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))


    3. В конфигурационном файле ELMA\Web\Settings.config уберите комментарии с параметров

    <add key="SSPI.InstanceUid" value="7EFF5F19-58D1-4904-8699-0A059BAB5F08" />

    Для elma3:

    <add key="SSPI.UseInPlaceWinAuth" value="true" />

    Для elma4:

    <add key="SSPI.EnableSSO" value="true" />

    4. (Опционально). Если требуется установка ELMA Агент, и отключен анонимный вход для сайта в IIS, в конфиг файле ELMA\Web\Web.config дополните содержимым fullExcludeForNewSSPI.zip, перед строкой ..<location path="Version.ashx"> (см шаг 5 из https://www.elma-bpm.ru/KB/help/RU/...rough_autorization_without_add_app_index.html)

    http://dc.elma-bpm.ru/manual/fullExcludeForNewSSPI.zip - ссылка на скачивание fullExcludeForNewSSPI.zip (скопировать ссылку и вставить в адресную строку в новой вкладке веб-браузера)

    5. В настройках сайта в IIS необходимо добавить параметры, для чего в IIS – Сайт – Параметры приложения – Добавить

    autoFormsAuthentication = "false"

    enableSimpleMembership = "false"

    6. В свойствах браузера необходимо добавить сервер ELMA в список надёжных сайтов, для чего в Панели управления (или через поиск) перейдите в Свойства браузера – Безопасность – Надежные сайты и добавьте сервер ELMA

    7. После того как добавили сервер в надёжные сайты, необходимо разрешить браузерам передавать логин пароль, для чего в Свойства браузера – Безопасность – Надежные сайты – Другой…

    Разрешить передачу логина и пароля.


    После этих действий сквозная авторизация без установки дополнительных приложений должна работать успешно.
     
    1 это нравится

Поделиться: