Настройка интеграции Intradesk с ADFS, keycloak
Разделы инструкции:
Основной сценарий авторизации в Intradesk через ADFS.
Сервис ADFS используется как сервис авторизации OIDC. В Intradesk настроена авторизация через OIDC с провайдером ADFS (в разделе "Настройки -> Интеграции -> OIDC-аутентификация") и на стороне Active Directory произведены настройки для корректной работы интеграции.
Пользователь по веб-ссылке хочет открыть Intradesk. До этого авторизации в Intradesk у данного пользователя не было. Перед пользователем открывается форма авторизации от службы ADFS. Пользователь вводит свои доменные логин/пароль. ADFS авторизует пользователя и далее Intradesk пробует найти данного пользователя среди Сотрудников и Пользователей клиентов Intradesk. Если находит, то успешно пропускает. Если такого Пользователя в Intradesk нет, то он будет автоматически создан по правилам создания пользователей (которые задаются в разделе "Настройки -> Правила поведения -> Правила создания пользователей") и далее будет успешно авторизован в Intradesk. Данные кейсы подробней описаны в разделе Проверка.
В локальном кэше браузера сохраняются авторизационные данные пользователя. Следующий вход по ссылке уже будет автоматический (без ввода логина/пароля).
Настройка в Active Directory.
- E-Mail-Addresses: E-Mail-Address или: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
- Given-Name: Given-Name или: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
- Surname: Surname или: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname "
- Telephone-Number или: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone (для телефона необходимо записать ссылку в таблицу )
Настройка в Intradesk.
Настройка OIDC аутентификации.
5. В поле "Provider URL (Authority)" ввести url на Вашего провайдера ADFS
8. В поле "Client Secret" вставить сохраненный ранее "Secret" (сохраняли на шаге 10 в разделе Настройка в Active Directory)
9. В поле "Scopes" ввести "openid allatclaims"
10. В поле "SignedOutRedirectUri" добавить URl, на который будет перенаправлять пользователя при выходе из системы
11. В поле "Аутентифицировать по" выбрать "Email"
Правила создания пользователей в Intradesk.
- Создавать: "Сотрудник" или "Клиент"
- Выбрать "Роль", с которой будет создаваться пользователь
- Выбрать "Группы, в которых создавать пользователя". (Не используется при создании клиентов физ.лиц)