Настроить службу для аутентификации через протокол OAuth 2.0

1. На сервере с помощью поиска Windows найдите приложение ADFS Management и откройте его.
   
2. Кликните Application Groups правой кнопкой мыши и выберите Add Application Group.
   
3. Введите имя приложения, выберите Server application accessing a web API и пройдите все шаги настройки.
   
4. Скопируйте идентификатор в поле Client Identifier, не меняя значение.

   Сохраните идентификатор в любом текстовом редакторе. Его понадобится указать при настройке.

5. В поле Redirect URL введите «https://online.sbis.ru/auth/openauth.html» для веб-приложения. Нажмите Add.

   Если требуется использование мобильного приложения, снова введите «https://online.sbis.ru/auth/external_auth» и нажмите кнопку Add.


6. Отметьте Generate a shared secret. Кликните Copy to clipboard, чтобы скопировать секретный ключ, и сообщите его менеджеру.
   
7. Укажите имя. В поле Identifier введите скопированный идентификатор из поля Client Identifier и нажмите Add.
   
8. Выберите Permit everyone.
   
9. В блоке Permitted scopes отметьте allatclaims, aza, openid. Кликните Next, а затем Close.
   
10. В приложении ADFS Management кликните добавленное приложение правой кнопкой мыши и выберите Properties.
    
11. Выделите строку с названием приложения в блоке Web API и кликните Edit.
    
12. На вкладке Issuance Transform Rules нажмите Add Rule.
    
13. В поле Claim rule template задайте Send LDAP Attributes as Claims.
    
14. Введите имя, в поле Attribute store укажите Active Directory. В таблице добавьте E-mail-Addreses и User Principal Name. Нажмите Finish.
    
15. С помощью поиска Windows найдите приложение Windows Powershell и запустите его с правами администратора.
    
16. Выполните команду:

    Set-AdfsProperties -WIASupportedUserAgents @((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + @("Укажите название приложения.*"))

    Названия приложений:

    • Десктопное приложение Saby — SbisCommunicatorMobile;
    • Saby My — SbisMySabyMobile;
    • Saby Space — SbisSabyDiskMobile;
    • Saby Lite — SbisSabyDiskMobile;
    • Saby Business — SbisBusinessMobile.

Служба настроена.

Подготовить данные для настройки интеграции в Saby

Откройте любой текстовый редактор и сохраните информацию:

• «Client Identifier» — ID приложения;
• «Secret» — cекретный ключ. Используйте, если указывали при настройке службы;
• «https://[адрес вашего ADFS]/adfs/oauth2/authorize» — адрес авторизации;
• «https://[адрес вашего ADFS]/adfs/oauth2/token» — адрес получения токена доступа;
• «https://[адрес вашего ADFS]/adfs/userinfo» — адрес запросов API.

1. В разделе «Clients» перейдите на вкладку «Clients list» и кликните «Create client».
   
2. Заполните данные:
   • «Client type» — «OpenID Connect»;
   • «Client ID» — идентификатор клиента, например «my-client»;
   • «Name» — название приложения, например «My Client»;
   • переключатель «Always display in console» поставьте в положение «On».
   
3. Нажмите «Next».
4. Настройте:
   • «Valid redirect URIs» — «https://online.sbis.ru/auth/openauth.html»;
   • переключатели «Client authentication» и «Authorization» поставьте в положение «On»;
   • отметьте флагом «Standard flow», «Direct access grants», «OAuth 2.0 Device Authorization Grant»;
   • «Login theme» — «keycloak».
   
5. Нажмите «Save».