AxelNAC поддерживает совместную работу SAML-аутентификации в Captive-портале с другими внутренними источниками для определения уровня авторизации пользователя.
Для того, чтобы настроить источник SAML-аутентификации, выполните следующие действия:
Шаг 1. Создайте новый источник аутентификации SAML в AxelNAC. Для этого в разделе Конфигурация → Политики и контроль доступа → Источники аутентификации нажмите Новый внутренний источник и выберите SAML в выпадающем списке.
Шаг 2. На открывшейся странице заполните обязательные поля:
Файлы сертификатов, ключей и метаданных могут быть загружены напрямую из веб-интерфейса. Для этого нажмите на значок загрузки файла слева от поля.
Шаг 3. Сохраните метаданные провайдера услуг (эти данные понадобятся в шаге 4), нажав Просмотреть метаданные провайдера услуг после создания источника аутентификации.
Шаг 4. Настройте провайдера идентификационных данных в соответствии со сгенерированными метаданными, чтобы завершить процесс установления доверия между AxelNAC и провайдером идентификационных данных.
В качестве примера рассмотрим конфигурацию SimpleSAMLPHP, которая находится в файле metadata/saml20-spremote.php:
$metadata ['ID_СУЩНОСТИ_ANAC'] = array (
'AssertionConsumerService' => 'http://ИМЯ_ХОСТА_ПОРТАЛА/saml/assertion',
'SingleLogoutService' => 'http://ИМЯ_ХОСТА_ПОРТАЛА/saml/logoff',
);
AxelNAC не поддерживает выход из системы провайдера идентификационных данных SAML. Можно по прежнему указывать URL-адрес в метаданных, но он использоваться не будет.
Чтобы пользователи могли получить доступ к странице входа в систему провайдера идентификационных данных, необходимо активировать Passthrough и добавить домен провайдера в список разрешенных Passthrough. Для этого:
Шаг 1. Перейдите в раздел Конфигурация → Сетевое взаимодействие → Сети → Фенсинг.
Шаг 2. Активируйте параметр Passthrough.
Шаг 3. Добавьте имя домена провайдера идентификационных данных в список Домены для Passthrough.
Шаг 4. Перезапустите службы iptables и pfdns, чтобы применить изменения.