Версия: 7.0

Конфигурация SSO с Microsoft Entra ID (Azure AD)

осторожно

Перед настройкой SSO убедитесь, что в config.env параметр APP_URL соответствует текущему домену Пассворка, пример — APP_URL=https://passwork.example.ru

Для примера используется следующий сервер Пассворка — passwork.example.ru

Добавление отношения доверия проверящей стороны

Авторизоваться в Microsoft Entra ID и перейти в — Корпоративные приложения:

Открыть — Управление → Все приложения и создать Новое приложение:

В Обзор коллекции Microsoft Entra выбрать — Создать собственное приложение:

Выполнить следующие действия:

Заполнить Отображаемое имя (пример: passwork-sp);
Что вы хотите сделать... — Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции).

После создания перейти в Управление → Единый вход и открыть SAML:

В созданном приложении открыть конфигурацию для SAML протокола

Открыть Базовая конфигурация SAML, нажать на Изменить.

Авторизоваться в веб-интерфейсе Пассворка и перейти в Настройки и пользователи → Настройки SSO, скопировать адреса конечных точек аутентификации из SP (Пассворка) в IDP (Microsoft Entra ID):

Идентификатор (сущности) — https://passwork.example.ru/api/v1/sso/metadata
URL-адрес ответа — https://passwork.example.ru/api/v1/sso/acs
URL-адрес для выхода — https://passwork.example.ru/api/v1/sso/sls

Пример заполненных конечных точек аутентификации из SP:

Заполнить в SAML конфигурации конечные точки Пассворка

Настройка правил обработки запросов от SP (Пассворка) в IDP (Microsoft Entra ID)

осторожно

В зависимости от нужного вида логина пользователя в Пассворке, вы можете настроить правила обработки так, чтобы формат пользователя мог быть следующим:

username
username@passwork.local

Пожалуйста, выберите необходимый формат логина пользователя в Пассворке и выполните настройку.

В Настройке единого входа с помощью SAML открыть — Атрибуты и утверждения:

Настройка правил обработки для username@passwork.local формата

осторожно

По умолчанию после создания приложения в Microsoft Entra ID формат пользователя после аутентификации в Пассворке формируется username@passwork.local.

Дополнительных изменений производить не нужно. Пример созданного утверждения по умолчанию:

Пример по умолчанию после создания приложения

Настройка правил обработки для username формата

Открыть Уникальный идентификатор пользователя (ID) и выполнить следующие изменения:

Источник — Преобразование;
Преобразование — ExtractMailPrefix();
Параметр 1 — Атрибут;
Имя атрибута — user.userprincipalname.

Пример создания SAML атрибута для преобразования

Сохранить изменения и перейти в Атрибуты и утверждения.

Настройка правил обработки дополнительных атрибутов для передачи в SP

Перейти в Атрибуты и утверждения и Добавить новое утверждение:

Добавление нового дополнительного утверждения для displayName:
1. Имя — displayName;
2. Источник — Атрибут;
3. Атрибут источника — user.displayname;
Сохранить созданное дополнительное утверждение.

Создание дополнительных утверждений для отдачи

Добавление нового дополнительного утверждения для emailAddress:
1. Имя — emailAddress;
2. Источник — Атрибут;
3. Атрибут источника — user.mail;
Сохранить созданное дополнительное утверждение.

Настройка и заполнение параметров единого входа (SSO) в Пассворке

Заполнение значений «Атрибуты пользователя»

Авторизоваться в веб-интерфейсе Пассворка, перейти в — Настройки и пользователи → Настройки SSO и заполнить атрибуты сопоставления:

Атрибут электронной почты — emailAddress;
Атрибут полного имени — displayName.

Заполнение значений «Поставщик удостоверений → Пассворк»

В Настройке единого входа с помощью SAML → Настройка passwork-sp скопировать адреса конечных точек аутентификации:

Скопировать и поместить в Пассворк конечные точки Microsoft Entra ID

Открыть — Настройки и пользователи → Настройки SSO и заполнить значения:

Идентификатор (Entity ID) — https://sts.windows.net/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/
Url-адрес входа — https://login.microsoftonline.com/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/saml2
Url-адрес выхода — https://login.microsoftonline.com/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/saml2

Заполнение значения «Сертификат»

В Настройке единого входа с помощью SAML → Сертификаты SAML получить SSL сертификат в base64 формате:

Получить в base64 публичный SSL сертификат Microsoft Entra ID

Полученный SSL сертификат открыть с помощью Блокнота, скопировать и поместить в соответствующее поле — Настройки и пользователи → Настройки SSO.

Пример экспортированного ключа в base64 формате

base64

Заполнение значения «Дополнительные настройки»

В настоящий момент в Пассворке не предусмотрен алгоритм обработки дополнительной идентификации при SSO интеграции, включая разные виды биометрии.

В случае ошибки идентификации в результате обмена с iDP (Microsoft Entra ID) необходимо поместить в JSON формате следующее содержимое:

json

{
  "security": {
    "requestedAuthnContext": false
  }
}

Открыть окно авторизации в веб-интерфейсе Пассворка и выполнить вход через SSO для проверки корректной настройки:

Выполнить аутентификацию в Пассворке с помощью SSO

Добавление отношения доверия проверящей стороны​

Настройка правил обработки запросов от SP (Пассворка) в IDP (Microsoft Entra ID)​

Настройка правил обработки дополнительных атрибутов для передачи в SP​

Настройка и заполнение параметров единого входа (SSO) в Пассворке​

Заполнение значений «Атрибуты пользователя»​

Заполнение значений «Поставщик удостоверений → Пассворк»​

Заполнение значения «Сертификат»​

Заполнение значения «Дополнительные настройки»​

Добавление отношения доверия проверящей стороны

Настройка правил обработки запросов от SP (Пассворка) в IDP (Microsoft Entra ID)

Настройка правил обработки дополнительных атрибутов для передачи в SP

Настройка и заполнение параметров единого входа (SSO) в Пассворке

Заполнение значений «Атрибуты пользователя»

Заполнение значений «Поставщик удостоверений → Пассворк»

Заполнение значения «Сертификат»

Заполнение значения «Дополнительные настройки»