Omówienie
Uwierzytelnianie Rublon MFA dla ManageEngine ADManager Plus stanowi dodatkową warstwę ochrony, zapewniającą, że tylko uprawnieni użytkownicy mają dostęp do systemu. ADManager Plus MFA wymusza zarówno podstawowe uwierzytelnienie (nazwa użytkownika i hasło), jak i drugą metodę, taką jak Powiadomienie mobilne, aby zagwarantować dostęp wyłącznie zweryfikowanym użytkownikom w ramach wielowarstwowego podejścia do bezpieczeństwa.
W tej dokumentacji opisano, jak dodać uwierzytelnianie wieloskładnikowe Rublon MFA do logowań do usługi ManageEngine ADManager Plus. Aby to osiągnąć za pomocą protokołu SAML, należy użyć aplikacji Rublon Access Gateway. Wszystkie wymagane kroki zostaną opisane w tym dokumencie.
Wspierane metody uwierzytelniania
Zanim zaczniesz
Przed skonfigurowaniem uwierzytelniania Rublon MFA dla ManageEngine ADManager Plus:
- Upewnij się, że wszystkie wymagane komponenty są gotowe.
- Utwórz aplikację w konsoli Rublon Admin Console.
- Zainstaluj aplikację mobilną Rublon Authenticator.
Wymagane komponenty
1. Dostawca tożsamości (IdP) — potrzebujesz zewnętrznego dostawcy tożsamości, takiego jak Microsoft Active Directory, OpenLDAP, FreeIPA, FreeRADIUS, czy Microsoft NPS.
2. Rublon Access Gateway – Przed rozpoczęciem integracji usługi ADManager Plus z Rublon MFA, zainstaluj i skonfiguruj aplikację Rublon Access Gateway. Przeczytaj dokumentację Rublon Access Gateway i wykonaj instrukcje w sekcjach Installation i Configuration. Następnie kontynuuj integrację zgodnie z tym dokumentem.
3. ADManager Plus – Prawidłowo zainstalowana i skonfigurowana usługa ManageEngine ADManager Plus.
Utwórz aplikację w konsoli Rublon Admin Console
1. Zarejestruj się w konsoli Rublon Admin Console. Oto jak to zrobić.
2. W konsoli Rublon Admin Console przejdź do zakładki Applications (Aplikacje) i kliknij Add Application (Dodaj aplikację).
3. Wprowadź nazwę swojej aplikacji (np. ADManager Plus), a następnie ustaw jej typ na Rublon Access Gateway.
4. Kliknij przycisk Save (Zapisz), aby dodać nową aplikację w konsoli Rublon Admin Console.
5. Skopiuj i zapisz wartości System Token i Secret Key. Te wartości będą Ci potrzebne później.
Zainstaluj aplikację Rublon Authenticator
Niektórzy użytkownicy końcowi prawdopodobnie skorzystają z aplikacji mobilnej Rublon Authenticator. Dlatego też, jako osoba konfigurująca uwierzytelnianie MFA dla usługi ADManager Plus, zdecydowanie zalecamy Ci zainstalowanie aplikacji mobilnej Rublon Authenticator. Dzięki temu możliwe będzie przetestowanie uwierzytelniania MFA dla usługi ADManager Plus za pomocą metody uwierzytelniania Powiadomienie mobilne.
Pobierz aplikację Rublon Authenticator dla systemu:
Konfiguracja
1. Aby dodać uwierzytelnianie wieloskładnikowe (MFA) do logowań do usługi ADManager Plus, potrzebujesz jednego lub więcej użytkowników typu „Help Desk Technician”. W panelu administracyjnym usługi ADManager Plus przejdź do Delegation → Help Desk Technicians → Add New Technician, wypełnij pola i wybierz Save. Zapoznaj się z poniższym obrazkiem i tabelą.
| Select Domain | Wybierz tę samą domenę, która została ustawiona w zakładce Authentication Sources aplikacji Rublon Access Gateway. |
| Select AD Users / Groups | Wybierz użytkownika. |
| Select Help Desk Roles | Wybierz rolę użytkownika. |
| Select OUs | Wybierz All OUs. |
2. W aplikacji Rublon Access Gateway, wybierz Application → Import application metadata → DOWNLOAD XML METADATA. Plik .xml otworzy się w przeglądarce. Naciśnij prawy przycisk myszy i zapisz plik jako metadata.xml. Przeglądarka domyślnie spróbuje zapisać go jako plik .php, więc musisz zmienić rozszerzenie na .xml.
3. W panelu administracyjnym ADManager Plus, przejdź do Delegation → Configuration → Logon Settings → Single Sign On.
4. Zaznacz Enable Single Sign-on i wybierz SAML Authentication.
5. W sekcji SP Configuration, wybierz Modify.
6. Otworzy się okno konfiguracji SAML. Wypełnij pola w sekcji Configure Identity Provider. Zapoznaj się z poniższym obrazkiem i tabelą.
| Identity Provider (Idp) | Custom SAML |
| Idp Provider Name | Rublon |
| IdP Provider Logo | Skip. |
| SAML Config Mode | Wybierz Upload Metadata File a następnie wybierz pobrany wcześniej z aplikacji Rublon Access Gateway plik metadata.xml. |
| Rozwiń Advanced Settings. | |
| SAML Request | Signed |
| Authentication Context Class | Unspecified |
| SAML Response | Signed |
| SAML Assertion | Signed |
| Signature Algorithm | SHA256 |
| Assertion Encryption | Encrypted |
| Encryption Certificate | Self-Signed lub CA-Signed w zależności od typu Twojego certyfikatu. |
| Single Logout | Opcjonalne. Włącz tę opcję, aby wylogowanie z usługi ADManager Plus powodowało wylogowanie ze wszystkich aplikacji powiązanych z aplikacją Rublon Access Gateway. |
7. Przejdź do sekcji Service Provider (SP) Details. W ACS/Recipient URL, wprowadź adres domeny i port używany do połączenia z usługą ADManager Plus. Użyj dwukropka między tymi dwoma wartościami, np.:
admanagerplus.rublon.com:1234
8. Przejdź do sekcji Mapping Attribute Selection. W Mapping Attribute, wybierz mail.
9. Wybierz Save w celu zapisania swojej konfiguracji SAML.
10. Po powrocie do zakładki Single Sign On, wybierz Download SP Metadata, aby pobrać plik sp_metadata.xml. Następnie otwórz ten plik w edytorze tekstowym i zmień następujące wartości:
- Ustaw validUntil=“2026-11-27T10:01:11.009Z”
- Ustaw AuthnRequestsSigned=”true”
- Ustaw WantAssertionsSigned=”true”
Następnie zapisz plik sp_metadata.xml.
Uwaga: Usługa ADManager Plus nie przekazuje ustawień z sekcji Advanced Settings do pliku sp_metadata.xml, stąd konieczność dokonania tych zmian samodzielnie.
11. W aplikacji Rublon Access Gateway, przejdź do Applications → Import application metadata, wpisz nazwę dla swojej aplikacji (np. ADManager Plus), wybierz plik sp_metadata.xml z komputera i wybierz UPLOAD. Aplikacja pojawi się na liście aplikacji w podzakładce All applications.
12. Konfiguracja ukończona. Możesz teraz przetestować logowanie do usługi ADManager Plus za pomocą uwierzytelniania wieloskładnikowego Rublon MFA.
Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi ADManager Plus zintegrowanej za pośrednictwem protokołu SAML
1. Na stronie logowania do ADManager Plus kliknij napis „Rublon” znajdujący się pod standardowym formularzem logowania.
2. Nastąpi przekierowanie na stronę logowania Rublon Access Gateway.
3. Podaj swoją nazwę użytkownika i hasło. Kliknij SIGN IN. Pojawi się widok Rublon Prompt z wyborem metod uwierzytelniania. Wybierz Powiadomienie mobilne.
4. Rublon MFA wyśle na Twój telefon żądanie uwierzytelnienia w postaci powiadomienia mobilnego. Wybierz ZATWIERDŹ.
5. Nastąpi pomyślne zalogowanie do usługi ADManager Plus.
Rozwiązywanie problemów
Jeśli napotkasz na jakiekolwiek problemy podczas integracji z Rublon MFA, skontaktuj się z pomocą techniczną Rublon Support.
