logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Солдатов  
#21 Оставлено : 10 марта 2020 г. 23:04:51(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Автор: stempid468 Перейти к цитате
Добрый вечер.
А еще такой вопрос возник, есть ли командлет, который однозначно указывает какой протокол используется WSFederation или OpenId ?

Спасибо.

P.S. Я дополнительно уточнил у заказчика какой протокол использует из ЦИ. Мне сказали что это WSFederation. Прошу подсказать на основе данных указанных в первом посте, это действительно так или все таки нет ?


Добрый вечер.
Наличие JwksUri в данных говорит все же о подключении через OpenId.

Для подключения внешнего ЦИ через WS-Federation (на примере adfs) на стороне DSS 2.0.3 достаточно выполнить два командлета:
Add-DSSIdentityProvider -IssuerName "имя ЦИ" -Thumbprint "Отпечаток сертификата adfs для подписи маркеров" -Url "Адрес службы adfs"
Set-DSSStsWSFederationSettings –Issuer https://dss_hostname/sts/sts/issue
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#22 Оставлено : 11 марта 2020 г. 9:42:00(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
А подскажите , та версия о которой вы упоминали (2.0.2636), она сертифицирована ?

Отредактировано пользователем 11 марта 2020 г. 10:22:32(UTC)  | Причина: Не указана

Offline Андрей Солдатов  
#23 Оставлено : 11 марта 2020 г. 10:24:22(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Автор: stempid468 Перейти к цитате
Добрый день.
А подскажите , та версия о которой вы упоминали (2.0.2636), она сертифицирована ?


Добрый день.
Нет. Кроме того - данная сборка более недоступна для загрузки. Если планируете обновляться - загружайте сборку 2882.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#24 Оставлено : 11 марта 2020 г. 10:28:52(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Патовая ситуация прям получается.)
А есть промежуточные сертифицированные версии доступные для загрузки или только есть две сборки 2.0.3 и 2882 ?
Просто нужна именно сертифицированная.

Отредактировано пользователем 11 марта 2020 г. 10:34:14(UTC)  | Причина: Не указана

Offline Андрей Солдатов  
#25 Оставлено : 11 марта 2020 г. 10:34:00(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Автор: stempid468 Перейти к цитате
Патовая ситуация прям получается.)
А есть промежуточные сертифицированные версии для загрузки или только есть две сборки 2.0.3 и 2882 ?


Промежуточные сборки не сертифицируются.
Если обновление до несертифицированной сборки невозможно - рекомендую подождать, пока выйдет следующая сертифицированная сборка (ожидается в первом полугодии 2020).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 11.03.2020(UTC)
Offline stempid468  
#26 Оставлено : 11 марта 2020 г. 14:16:05(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Передал всю информацию который Вы со мной поделись заказчику, в ответ он написал следующее :

Сертифицированная версия 2.0.3 не поддерживает OpenId Connect 1.0, только WS-Federation.
В сертифицированной версии 2.0.3 есть поддержка API протокола обмена маркеров, с помощью которого можно обменять JWT-токен (полученный от ADFS, например, по OpenId Connect 1.0) на маркер DSS:
https://dss.cryptopro.ru...auth/token-exchange.html

Прошу подсказать в чем заключается суть этого API и какие есть варианты этой реализации ?
Offline Андрей Солдатов  
#27 Оставлено : 12 марта 2020 г. 10:30:31(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Автор: stempid468 Перейти к цитате
Передал всю информацию который Вы со мной поделись заказчику, в ответ он написал следующее :

Сертифицированная версия 2.0.3 не поддерживает OpenId Connect 1.0, только WS-Federation.
В сертифицированной версии 2.0.3 есть поддержка API протокола обмена маркеров, с помощью которого можно обменять JWT-токен (полученный от ADFS, например, по OpenId Connect 1.0) на маркер DSS:
https://dss.cryptopro.ru...auth/token-exchange.html

Прошу подсказать в чем заключается суть этого API и какие есть варианты этой реализации ?


Добрый день.
Да, в DSS 2.0.3 есть поддержка указанного API.
Процедура обмена маркерами описана здесь.
Примеры есть здесь.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 12.03.2020(UTC)
Offline stempid468  
#28 Оставлено : 17 марта 2020 г. 17:02:05(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
А подскажите пожалуйста на чьей стороне должна производиться реализация этого протокола, на стороне нашего DSS или на стороне заказчика (стороннего ЦИ) ?

Хотел дополнить - подключить нужно ЦИ развернутый на сервере ADFS MS Server 2012.

Отредактировано пользователем 18 марта 2020 г. 17:11:22(UTC)  | Причина: Не указана

Offline stempid468  
#29 Оставлено : 20 марта 2020 г. 10:30:13(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
Прошу подсказать если кто нибудь что то знает касательно информации выше, как связать воедино ЦИ ADFS и КриптоПро DSS и если можно пояснить какая вообще роль в данном случае будет у DSS.
Например в схеме которая указана ниже
adfs

Offline Андрей Солдатов  
#30 Оставлено : 20 марта 2020 г. 15:16:07(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Автор: stempid468 Перейти к цитате
Добрый день.
А подскажите пожалуйста на чьей стороне должна производиться реализация этого протокола, на стороне нашего DSS или на стороне заказчика (стороннего ЦИ) ?

Хотел дополнить - подключить нужно ЦИ развернутый на сервере ADFS MS Server 2012.


Добрый день.
Давайте еще раз - если стоит задача обмена маркера, полученного от ADFS по oidc, на маркер от ЦИ DSS, на стороне DSS нужно сделать следующее:
1. Добавить ЦИ: Add-DSSIdentityProvider -IssuerName «Имя ЦИ» -Thumbprint «Отпечаток сертификата для подписи маркеров»;
2. Сам сертификат для подписи маркеров установить в хранилище "Доверенные лица" локального компьютера.

Примеры обмена, как я ранее уже писал, есть здесь.

Отредактировано пользователем 20 марта 2020 г. 15:17:08(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#31 Оставлено : 20 марта 2020 г. 16:19:06(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Спасибо за ответ, но прошу подсказать касательно цитаты из примера
Если клиентское приложение получило маркер от стороннего ЦИ, то оно может обменять этот маркер на маркер от ЦИ DSS. - что контексте взаимодействия стороннего ЦИ и DSS означает клиентское приложение ? Это какое отдельное ПО, веб-приложение или что то еще ?
Offline Андрей Солдатов  
#32 Оставлено : 20 марта 2020 г. 16:23:45(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Автор: stempid468 Перейти к цитате
Спасибо за ответ, но прошу подсказать касательно цитаты из примера
Если клиентское приложение получило маркер от стороннего ЦИ, то оно может обменять этот маркер на маркер от ЦИ DSS. - что контексте взаимодействия стороннего ЦИ и DSS означает клиентское приложение ? Это какое отдельное ПО, веб-приложение или что то еще ?


Что угодно - приложение/информационная система/веб-ресурс, которые будут взаимодействовать с DSS.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 20.03.2020(UTC)
Offline stempid468  
#33 Оставлено : 20 марта 2020 г. 16:31:20(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Благодарю, буду разбираться дальше.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.