Администрирование
Настройки SSO

Конфигурация SSO c AD FS

7min

В инструкции, в качестве примера, используется имя сервера с AD FS ssotest.passwork.org и имя сервера Пассворка passwork.passwork.org

Проверка настроек AD FS

Откройте Управление AD FS и проверьте настройки, кликнув Изменить свойства службы федерации.

Убедитесь, что поля на вкладке Общие соответствуют именам в DNS-записи и имени в сертификате. Адрес в поле Идентификатор службы федерации также будет использоваться при настройке SSO SAML 2.0 на стороне Passwork.

Document image


В Управление AD FS откройте Сертификаты, выберите сертификат из Для подписи маркера и экспортируйте его в base64. В будущем содержимое необходимо будет вставить в настройки SSO.

Document image


Настройка «Отношений доверия проверяющей» стороны в AD FS

Выберите Отношения доверия проверяющей стороны, кликните Добавить отношение доверия проверяющей стороны.

Document image


Выполните следующие действия:

  1. «Поддерживающие утверждения».
  2. «Ввод данных о проверяющей стороне вручную».
  3. Укажите отображаемое имя.
  4. В «Настройка сертификата» нажмите Далее.
  5. Выберите «Включить поддержку протокола SAML 2.0 Web SSO» и добавьте «URL проверяющей стороны» — https://passwork.passwork.org/sso/acs.
  6. Добавьте https://passwork.passwork.org/sso/metadata в «Идентификатор отношения доверия проверяющей стороны» и нажмите Добавить.
  7. В «Выбрать политику управления доступом» нажмите Далее.
  8. В «Готовность для добавления отношения доверия» нажмите Далее.
  9. Нажмите Закрыть.

Отройте Свойства вашего отношения доверия проверяющей стороны, выберите Конечные точки, кликните Добавить SAML, выберите Завершение сеанса SAML в Тип конечной точки и введите https://passwork.passwork.org/sso/sls в Доверенный URL адрес.

Document image


Настройка Правил преобразования выдачи для «Отношения доверия проверяющей стороны»

Перейдите на Отношения доверия проверяющей стороны и выберите Изменить политику подачи запросов для созданного отношения доверия. Добавьте правило Отправка атрибутов LDAP как утверждение. Выберите атрибут LDAP из хранилища атрибутов, содержащий User Principal Name. Сопоставьте его с типом исходящего утверждения UPN.

Document image


Создайте второе правило Преобразование входящего утверждения. Настройте входящее утверждение UPN на тип исходящего утверждения Name ID.

Document image


Настройка SSO в веб-интерфейсе сервера Пассворка

Укажите необходимые данные и в поле сертификата вставьте содержимое файла сертификата, который вы экспортировали в начале.

Document image


Добавление файла sso.phpизменяет поведение SSO к тому, которое требуется для работы с AD FS

Создайте файл: <path-to-passwork>/app/config/sso.php

Поместите в созданный файл следующее содержимое.

PHP


На этом установка завершена. Возможно, вам потребуется перезапустить сервер или службу AD FS.

Чтобы исключить ошибки, связанные с сертификатами, можно воспользоваться командами PowerShell.

PowerShell