Администрирование
Настройки SSO

Конфигурация SSO c AD FS

13min
перед настройкой sso убедитесь, что в config env параметр app url соответствует текущему домену пассворка, пример — app url=https //passwork example ru для примера используются следующие имена серверов провайдер (idp) — ad fs passwork local сервер пассворка (sp) — passwork example ru добавление отношения доверия проверящей стороны открыть — диспетчер серверов → средства → управление ad fs → отношения доверия проверяющей стороны → действия поэтапно выполнить действия в — мастер добавления отношений доверия проверяющей стороны поддерживающие утверждения ; ввод данных о проверяющей стороне вручную ; заполнить отображаемое имя (пример passwork sp ); пропустить шаг — настройка сертификата , нажать далее ; на шаге настройка url адреса включить поддержку протокола saml 2 0 websso ; скопировать из пассворка в — настройки и пользователи → настройки sso — адрес url ответа ; поместить в url адрес службы saml 2 0 sso проверяющей стороны — https //passwork example ru/api/v1/sso/acs на шаге настройка идентификатора скопировать из пассворка в — настройки и пользователи → настройки sso — адрес идентификатора ; поместить в идентификатор отношения доверия проверяющей стороны — https //passwork example ru/api/v1/sso/metadata пропустить шаг — выбрать политику управления доступом , нажать далее ; пропустить шаг — готовность для добавления отношения доверия , нажать далее ; пример вывода созданного доверия в powershell powershell get adfsrelyingpartytrust name "passwork sp" # команда для вывода allowedauthenticationclassreferences {} encryptioncertificaterevocationcheck checkchainexcluderoot publishedthroughproxy false signingcertificaterevocationcheck checkchainexcluderoot wsfedendpoint additionalwsfedendpoint {} claimsprovidername {} claimsaccepted {} encryptclaims true enabled true encryptioncertificate identifier {https //passwork example ru/api/v1/sso/metadata} notbeforeskew 0 enablejwt false alwaysrequireauthentication false notes organizationinfo objectidentifier 03363cb7 5eef ef11 b8b3 000c2993a976 proxyendpointmappings {} proxytrustedendpoints {} protocolprofile wsfed saml requestsigningcertificate {} encryptednameidrequired false signedsamlrequestsrequired false samlendpoints {microsoft identityserver management resources samlendpoint} samlresponsesignature assertiononly signaturealgorithm http //www w3 org/2001/04/xmldsig more#rsa sha256 tokenlifetime 0 allowedclienttypes public, confidential issueoauthrefreshtokensto alldevices refreshtokenprotectionenabled true requestmfafromclaimsproviders false scopegroupid scopegroupidentifier deviceauthenticationmethod name passwork sp autoupdateenabled false monitoringenabled false metadataurl conflictwithpublishedpolicy false issuanceauthorizationrules issuancetransformrules delegationauthorizationrules lastpublishedpolicychecksuccessful lastupdatetime 01 01 1900 5 00 00 lastmonitoredtime 01 01 1900 5 00 00 impersonationauthorizationrules additionalauthenticationrules accesscontrolpolicyname permit everyone accesscontrolpolicyparameters resultantpolicy requirefreshauthentication\ false issuanceauthorizationrules { permit everyone } get adfsrelyingpartytrust name "passwork sp" | select object expandproperty samlendpoints # команда для вывода binding post bindinguri urn\ oasis\ names\ tc\ saml 2 0\ bindings\ http post index 0 isdefault false location https //passwork example ru/api/v1/sso/acs protocol samlassertionconsumer responselocation открыть свойства созданного отношения доверия проверяющей стороны в свойствах перейти в конечные точки и выполнить следующие действия добавить saml ; тип конечной точки — завершение сеанса saml ; привязка — redirect ; скопировать из пассворка в — настройки и пользователи → настройки sso — адрес url выхода ; поместить в доверенный url адрес — https //passwork example ru/api/v1/sso/sls применить изменения и закрыть свойства настройка правил обработки запросов от sp (пассворка) в idp (ad fs) в зависимости от нужного вида логина пользователя в пассворке, вы можете настроить правила обработки так, чтобы формат пользователя мог быть следующим username username\@passwork local пожалуйста, выберите необходимый формат логина пользователя в пассворке и выполните настройку в отношения доверия проверяющей стороны встать на созданное доверие ( passwork sp ) и открыть — изменить политику подачи запросов настройка правил обработки для username\@passwork local формата выполнить следующие действия добавить правило ; отправка атрибутов ldap как утверждений ; имя правила утверждения — attributestatement ; хранилище атрибутов — active directory ; атрибут ldap — user principal name ; тип исходящего утверждения — upn выполнить следующие действия добавить правило ; преобразование входящего утверждения ; имя правила утверждения — name id format ; тип входящего утвеждения — upn ; тип исходящего утверждения — name id ; формат ид исходящего имени — временный идентификатор настройка правил обработки для username формата выполнить следующие действия добавить правило ; отправка атрибутов ldap как утверждений ; имя правила утверждения — attributestatement ; хранилище атрибутов — active directory ; атрибут ldap — sam account name ; тип исходящего утверждения — e mail address ; выполнить следующие действия добавить правило ; преобразование входящего утверждения ; имя правила утверждения — name id format ; тип входящего утвеждения — e mail address ; тип исходящего утверждения — name id ; формат ид исходящего имени — временный идентификатор настройка правил обработки дополнительных атрибутов для передачи в sp отредактировать созданное правило с именем attributestatement передавать в sp (пассворк) display name атрибут атрибут ldap — display name ; тип исходящего утверждения — прописать displayname ; передавать в sp (пассворк) e mail address атрибут атрибут ldap — e mail addresses ; тип исходящего утверждения — прописать emailaddress ; настройка и заполнение параметров единого входа (sso) в пассворке заполнение значений « атрибуты пользователя » авторизоваться в веб интерфейсе пассворка, перейти в — настройки и пользователи → настройки sso и заполнить атрибуты сопоставления атрибут электронной почты — emailaddress ; атрибут полного имени — displayname заполнение значений «поставщик удостоверений → пассворк» открыть управление ad fs → встать на директорию ad fs → изменить свойства службы федерации скопировать адрес — идентификатор службы федерации → http //ad fs passwork local/adfs/services/trust открыть — настройки и пользователи → настройки sso и заполнить значения идентификатор (entity id) — http //ad fs passwork local/adfs/services/trust url адрес входа — https //ad fs passwork local/adfs/ls url адрес выхода — https //ad fs passwork local/adfs/ls/?wa=wsignout1 0 заполнение значения «сертификат» открыть и экспортировать сгенерированный ssl сертификат в base64 формате — управление ad fs → служба → сертификаты → для подписи маркера экспортированный ssl сертификат открыть с помощью блокнота , скопировать и поместить в соответствующее поле — настройки и пользователи → настройки sso пример экспортированного ключа в base64 формате base64 begin certificate miie5dccasygawibagiqm/9slljzjlbhasgqvsiepzanbgkqhkig9w0baqsfadau mswwkgydvqqdeynbreztifnpz25pbmcglsbhzc1mcy5wyxnzd29yay5sb2nhbdae fw0yntaymtkymda3mjfafw0ynjaymtkymda3mjfamc4xldaqbgnvbamti0ferlmg u2lnbmluzyatigfklwzzlnbhc3n3b3jrlmxvy2fsmiicijanbgkqhkig9w0baqef aaocag8amiiccgkcageas6isoglhwqdncr1tyqkgs+dwmi3doimfdpqngad/s5vd fngfsz048zfyqjan9ypnu8uctftokj2bqzrpoqat2lpaaivytdlkbmmbaayohoqh rad6nqazuycbw2vmwwa4sa8htdwwwzpofhx3ar5ebw4iqo0shwhoyciwmh0td9+4 lqiy7vkht3fcucudl+kopjnsvdjlvbpg7zpfkylgy/anp9+90yt/l1/mj682bv3b hgapbaozag7qs6pa94wpmkylnnf2c89vsfbaa+kjfwjhk5ympbwluxolnx7zz6bx bqkdu/w7ptqiiiffy0rlnwwyaqbkkh77c9okwle3k54ohnayjhxf332ck7pspsvt frdqagygzqf/ehpqg7kmppr6iiz76v9fmzz59ruyala9f0yyk2npildy1ehldm19 h+72t/zfeolkexr+bbeocqalnqgxss0ydrwtwmebcqnrpis4153298veqkto1suz hqnbookmlguymqapn50kiffezrk/ghfoxby16ezlyayvywqaab5weabcgdb2p9rn kzheyz3ib/cqzps1dyszhzj9sls0yr8aqgyml0pyks7ajpr9glgskkz/7q6pooty jz7qlcbgapacujfoqur2ocpzu/tsvryhhpnzw41hiejgwbvj6wlpufqyjxp5rxkc aweaatanbgkqhkig9w0baqsfaaocageabkojd7u1qnvfl4hsvnscsutqxi4knvxi nkqxzwcpkdcxpzpjdtmpsgukzqablecgqpx+v94f32ba2bk8cgp08ra2orxexr7r xccm3bvuasi6nmbzkhpm6y/3awadou59k8qe1c+drsrhhm9927z4qwmkylfkeql4 4wbybw/jgqs7hqmbxrdfctndqzgkce+svat9ondp86tophbsndruyxqfqkb/lsbq cstg/cc1b9xj+fi3xuxel/33e9/p8ovfko5slw5ku6qet9cg6ga0oreib+8fbbiv loll4aisn44/wq6mu3biw77l1tpouqpf11g9fpuov10wrttotk4isrymhsbrga/r rzmbwh2mgkls1vlcigrue6kmiku743d8oylqb7n4+o+h56yliuwwxumm1fnnciov tvutubpso6ogtuo5tcd9uqad5r1+rf5a68yuslmgu+4me9hdy/143bzmdpexkcut jfzoi9v4ppmofgewzdymtxu40okyzh/grnxw9aozeplfr8vnf+lhgvhefwkvvwdv j7n49c1wxzxk7rdaswkeydglc1bysfqoiykoucfo+ncdbi6r44cxbrwk1eeslucq x2llis2nokg8px2bpqpctuzgcleivpg0rrovksnj3l3brtfo3jwooqxxofvubk8h ufmslzpaw1i= \ end certificate заполнение значения «расширенные настройки» поместить в json формате следующее содержимое json { 	"sp" { 	 "entityid" "https //passwork example ru/api/v1/sso/metadata", 	 "assertionconsumerservice" { 	 "url" "https //passwork example ru/api/v1/sso/acs" 	 }, 	 "singlelogoutservice" { 	 "url" "https //passwork example ru/api/v1/sso/sls" 	 }, 	 "nameidformat" "urn\ oasis\ names\ tc\ saml 2 0\ nameid format\ transient" 	} } заменить в url адресах домен passwork example ru на домен вашего сервера пассворка открыть окно авторизации в веб интерфейсе пассворка и выполнить вход через sso для проверки корректной настройки