Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332   Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Автор: stempid468  Добрый вечер.
А еще такой вопрос возник, есть ли командлет, который однозначно указывает какой протокол используется WSFederation или OpenId ?
Спасибо.
P.S. Я дополнительно уточнил у заказчика какой протокол использует из ЦИ. Мне сказали что это WSFederation. Прошу подсказать на основе данных указанных в первом посте, это действительно так или все таки нет ? Добрый вечер. Наличие JwksUri в данных говорит все же о подключении через OpenId. Для подключения внешнего ЦИ через WS-Federation (на примере adfs) на стороне DSS 2.0.3 достаточно выполнить два командлета: Add-DSSIdentityProvider -IssuerName "имя ЦИ" -Thumbprint "Отпечаток сертификата adfs для подписи маркеров" -Url "Адрес службы adfs" Set-DSSStsWSFederationSettings –Issuer https://dss_hostname/sts/sts/issue |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Добрый день. А подскажите , та версия о которой вы упоминали (2.0.2636), она сертифицирована ? Отредактировано пользователем 11 марта 2020 г. 10:22:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Автор: stempid468 Добрый день.
А подскажите , та версия о которой вы упоминали (2.0.2636), она сертифицирована ? Добрый день. Нет. Кроме того - данная сборка более недоступна для загрузки. Если планируете обновляться - загружайте сборку 2882. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Патовая ситуация прям получается.) А есть промежуточные сертифицированные версии доступные для загрузки или только есть две сборки 2.0.3 и 2882 ? Просто нужна именно сертифицированная. Отредактировано пользователем 11 марта 2020 г. 10:34:14(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Автор: stempid468 Патовая ситуация прям получается.)
А есть промежуточные сертифицированные версии для загрузки или только есть две сборки 2.0.3 и 2882 ? Промежуточные сборки не сертифицируются. Если обновление до несертифицированной сборки невозможно - рекомендую подождать, пока выйдет следующая сертифицированная сборка (ожидается в первом полугодии 2020). |
|
 1 пользователь поблагодарил Андрей Солдатов за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Передал всю информацию который Вы со мной поделись заказчику, в ответ он написал следующее : Сертифицированная версия 2.0.3 не поддерживает OpenId Connect 1.0, только WS-Federation. В сертифицированной версии 2.0.3 есть поддержка API протокола обмена маркеров, с помощью которого можно обменять JWT-токен (полученный от ADFS, например, по OpenId Connect 1.0) на маркер DSS: https://dss.cryptopro.ru...auth/token-exchange.htmlПрошу подсказать в чем заключается суть этого API и какие есть варианты этой реализации ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Автор: stempid468 Передал всю информацию который Вы со мной поделись заказчику, в ответ он написал следующее : Сертифицированная версия 2.0.3 не поддерживает OpenId Connect 1.0, только WS-Federation. В сертифицированной версии 2.0.3 есть поддержка API протокола обмена маркеров, с помощью которого можно обменять JWT-токен (полученный от ADFS, например, по OpenId Connect 1.0) на маркер DSS: https://dss.cryptopro.ru...auth/token-exchange.htmlПрошу подсказать в чем заключается суть этого API и какие есть варианты этой реализации ? Добрый день. Да, в DSS 2.0.3 есть поддержка указанного API. Процедура обмена маркерами описана здесь. Примеры есть здесь. |
|
1 пользователь поблагодарил Андрей Солдатов за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Добрый день. А подскажите пожалуйста на чьей стороне должна производиться реализация этого протокола, на стороне нашего DSS или на стороне заказчика (стороннего ЦИ) ? Хотел дополнить - подключить нужно ЦИ развернутый на сервере ADFS MS Server 2012. Отредактировано пользователем 18 марта 2020 г. 17:11:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Добрый день. Прошу подсказать если кто нибудь что то знает касательно информации выше, как связать воедино ЦИ ADFS и КриптоПро DSS и если можно пояснить какая вообще роль в данном случае будет у DSS. Например в схеме которая указана ниже 
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Автор: stempid468 Добрый день.
А подскажите пожалуйста на чьей стороне должна производиться реализация этого протокола, на стороне нашего DSS или на стороне заказчика (стороннего ЦИ) ?
Хотел дополнить - подключить нужно ЦИ развернутый на сервере ADFS MS Server 2012. Добрый день. Давайте еще раз - если стоит задача обмена маркера, полученного от ADFS по oidc, на маркер от ЦИ DSS, на стороне DSS нужно сделать следующее: 1. Добавить ЦИ: Add-DSSIdentityProvider -IssuerName «Имя ЦИ» -Thumbprint «Отпечаток сертификата для подписи маркеров»; 2. Сам сертификат для подписи маркеров установить в хранилище "Доверенные лица" локального компьютера. Примеры обмена, как я ранее уже писал, есть здесь. Отредактировано пользователем 20 марта 2020 г. 15:17:08(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
