Конфигурация SSO с Blitz Identity Provider

перед настройкой sso убедитесь, что в config env параметр app url соответствует текущему домену пассворка, пример — app url=https //passwork example com это нужно, чтобы idp смог скачать metadata также сервер пассворка должен работать по https протоколу для примера используются следующие имена серверов провайдер (idp) — blitz passwork local сервер пассворка (sp) — passwork example com создание приложения в blitz identity provider в blitz console перейти на вкладку приложения и добавить приложение в пассворке открыть настройки и пользователи → настройки sso и скопировать идентификатор (entity id) entity id https //passwork example com/api/v1/sso/metadata заполнить параметры приложения в blitz идентификатор (entityid или client id) — https //passwork example com/api/v1/sso/metadata название — пассворк домен — passwork example com открыть созданное приложение ( пассворк ) и перейти в раздел протоколы → saml → сконфигурировать в метаданные → изменить → сгенерировать метаданные в пассворке скопировать url ответа (url службы обработчика утверждений) — https //passwork example com/api/v1/sso/acs url выхода — https //passwork example com/api/v1/sso/sls на сервере, где установлен blitz identity provider, автоматически генерируются публичный и приватный ssl сертификаты для использования, которые размещены в — /etc/blitz config/saml/credentials/ shell ls la /etc/blitz config/saml/credentials/ rw r r 1 blitz blitz 1874 апр 2 16 34 idp crt rw 1 blitz blitz 3272 апр 2 16 34 idp key получить и скопировать содержимое idp crt ssl сертификата shell cat /etc/blitz config/saml/credentials/idp crt заполнить параметры для формирования метаданных url сервиса обработчика утверждений (assertionconsumerservice) — https //passwork example com/api/v1/sso/acs url сервиса единого логаута (singlelogoutservice) — https //passwork example com/api/v1/sso/sls в сертификат подписи и сертификат шифрования поместить скопированный idp crt ssl сертификат сгенерировать метаданные для пассворка в разделе saml профиль — сконфигурировать и выставить в never следующие параметры шифровать утверждения ; шифровать идентификаторы (nameids) активировать — включить передачу saml утверждений о пользователе в специальном блоке attribute statement сохранить указанные значения и в левой панели перейти на вкладку — saml настройка правил обработки запросов от sp (пассворка) в idp (blitz identity provider) в зависимости от нужного вида логина пользователя в пассворке, вы можете настроить правила обработки так, чтобы формат пользователя мог быть следующим username username\@passwork local пожалуйста, выберите необходимый формат логина пользователя в пассворке и выполните настройку настройка правил обработки для username\@passwork local формата на вкладке saml — добавить новый saml атрибут и в свойствах saml атрибута заполнить название — nameid ; источник — email добавить кодировщик и выполнить следующие действия тип — saml2stringnameid ; название — nameid ; формат имени — urn\ oasis\ names\ tc\ saml 1 1\ nameid format\ emailaddress сохранить внесённые изменения для nameid атрибута настройка правил обработки для username формата на вкладке saml — добавить новый saml атрибут и в свойствах saml атрибута заполнить название — nameid ; источник — sub добавить кодировщик и выполнить следующие действия тип — saml2stringnameid ; название — nameid ; формат имени — urn\ oasis\ names\ tc\ saml 1 1\ nameid format\ emailaddress сохранить внесённые изменения для nameid атрибута настройка правил обработки дополнительных атрибутов для передачи в sp добавить новый saml атрибут и в свойствах saml атрибута заполнить название — emailaddress ; источник — email добавить кодировщик и выполнить следующие действия тип — saml2string ; название — emailaddress ; короткое имя — emailaddress ; формат имени — urn\ oasis\ names\ tc\ saml 1 1\ nameid format\ unspecified сохранить внесённые изменения для emailaddress атрибута добавить новый saml атрибут и в свойствах saml атрибута заполнить название — displayname ; источник — given name добавить кодировщик и выполнить следующие действия тип — saml2string ; название — displayname ; короткое имя — displayname ; формат имени — urn\ oasis\ names\ tc\ saml 1 1\ nameid format\ unspecified сохранить внесённые изменения для displayname атрибута открыть приложения → пассворк (созданное приложение) → в разделе атрибуты пользователя → добавить nameid ; emailaddress ; displayname сохранить изменения настройка и заполнение параметров единого входа (sso) в пассворке заполнение значений « атрибуты пользователя » авторизоваться в веб интерфейсе пассворка, перейти в — настройки и пользователи → настройки sso и заполнить атрибуты сопоставления атрибут электронной почты — emailaddress ; атрибут полного имени — displayname заполнение значений «поставщик удостоверений → пассворк» открыть конфигурацию поставщика услуг (idp) — saml → url с метаданными blitz identity provider скопировать следующие значения параметров xml entityid="https //blitz passwork local/blitz/saml" singlesignonservice location="https //blitz passwork local/blitz/saml/profile/saml2/redirect/sso" singlesignonservice location="https //blitz passwork local/blitz/saml/profile/saml2/redirect/slo" пример xml вывода открыть — настройки и пользователи → настройки sso и заполнить значения идентификатор (entity id) — https //blitz passwork local/blitz/saml url адрес входа — https //blitz passwork local/blitz/saml/profile/saml2/redirect/sso url адрес выхода — https //blitz passwork local/blitz/saml/profile/saml2/redirect/slo заполнение значения «сертификат» повторно скопировать содержимое idp crt ssl сертификата shell cat /etc/blitz config/saml/credentials/idp crt скопированный ssl сертификат поместить в соответствующее поле — настройки и пользователи → настройки sso открыть окно авторизации в веб интерфейсе пассворка и выполнить вход через sso для проверки корректной настройки