Dotyczy wersji: 2020.1.x i wyższych; autor: Mateusz Syrek
Rejestracja WEBCON BPS Portal w ADFS
Konfiguracja w WEBCON BPS Designer Studio
W aplikacji WEBCON BPS możliwe jest skonfigurowanie kilku dostawców autentykacji. Jednym z nich jest ADFS (Active Directory Federation Services).
W przypadku, gdy w organizacji wykorzystywane jest single sign-on z użyciem ADFS i chcielibyśmy, aby autentyfikacja w aplikacji WEBCON BPS była dla użytkowników „przeźroczysta” lub chcemy udostępnić aplikację użytkownikom spoza naszej domeny – możliwe jest zarejestrowanie WEBCON PBS Portal w ADFS i umożliwienie takiej identyfikacji.
Rejestracja WEBCON BPS Portal w ADFS
Na screenach przedstawione są kroki, które zostały zmodyfikowane. Pozostałe to domyślna konfiguracja.
Pierwszym krokiem jest uruchomienie konsoli zarządzania ADFS i utworzenie nowego Relying Party Trust, a następnie wybranie aplikacji „Claims Aware”.
Następnie należy zaznaczyć opcję ręcznego wprowadzania danych i ustawić nazwę wyświetlania.
W przypadku posiadania opcjonalnego certyfikatu dla klucza to można go wybrać w kolejnym kroku. Natomiast w tym przypadku nie jest on potrzebny i można przejść dalej.
Kolejnym krokiem jest wybranie protokołu jakim ADFS będzie komunikował się z aplikacją WEBCON BPS – która jest aplikacją wspierającą protokół Windows Federation, dlatego należy zaznaczyć tą opcję a jako adres podać adres Portalu.
W kolejnym kroku można podać dodatkowe identyfikatory zaufania, jednak w przypadku Portalu nie jest to potrzebne – można zostawić automatycznie dodany adres i przejść dalej.
W kolejnym kroku można wybrać polityki dostępu (można zostawić domyślne opcje) i przejść do podsumowania. Po kliknięciu przycisku „Finish” Portal zostanie zarejestrowany w ADFS.
Z ostatniego kroku można płynnie przejść do konfiguracji rozszerzeń Claims. Po kliknięciu przycisku „Close” na ekranie pojawi się okno, w którym można dodawać nowe role transformowania – należy wybrać „Send LDAP Attributes as Claims” i ustawić atrybuty jakie będziemy chcieli mapować.
Po zapisaniu konfiguracji można przejść do WEBCON BPS Designer Studio.
Konfiguracja w WEBCON BPS Designer Studio
Aby umożliwić autentykację w Portalu należy w konfiguracji systemu aktywować dostawcę autentykacji ADFS.
W konfiguracji przekazane muszą zostać następujące parametry:
- adres metadanych serwera ADFS,
- identyfikator aplikacji w ADFS, który jest adresem WEBCON BPS Portal,
- adres wystawcy, który jest adresem aktywnego endpoint’u protokołu WS-Federation w ADFS
Tak skonfigurowanego dostawcę autentykacji ADFS można zweryfikować wchodząc na stronę Portalu.
Pojawi się okno logowania z dwoma przyciskami: Windows Active Directory oraz ADFS, który przed chwilą został aktywowany. Po wciśnięciu ADFS użytkownik zostanie przekierowany na stronę logowania naszego ADFS skąd po podaniu poprawnych poświadczeń wróci do Portalu.
Dzięki temu dajemy użytkownikowi wybór sposobu autentykacji. Jeżeli w WEBCON BPS zostaną aktywowaniu dostawcy autentyfikacji Azure Active Directory oraz WEBCON BPS Auth to w tym miejscu pojawią się dodatkowe przyciski.
W WEBCON BPS Designer Studio pojawi się podobne okno logowania.
Co w przypadku gdy w naszej organizacji korzystamy z ADFS i dążymy do zredukowania logowań do minimum wśród użytkowników, żeby raz uwierzytelniony użytkownik nie musiał ponownie się autoryzować?
Należy dezaktywować wszystkich innych dostawców autentykacji, m.in. Windows Active Directory.
Dzięki temu użytkownik nie zobaczy strony z wyborem sposobu autentyfikacji, tylko od razu zostanie przekierowany na stronę serwera ADFS. Jeśli użytkownik był już wcześniej uwierzytelniony to od razu zostanie przekierowany na stronę Portalu, bez ponownego wpisywania poświadczeń.
Dezaktywacja wszystkich innych dostawców autentykacji spowoduje, że do Designer Studio również będziemy musieli logować się za pomocą ADFS.
