Конфигурация SSO с Microsoft Entra ID (Azure AD)
Перед настройкой SSO убедитесь, что в config.env параметр APP_URL соответствует текущему домену Пассворка, пример — APP_URL=https://passwork.example.ru
Для примера используется следующий сервер Пассворка — passwork.example.ru
Авторизоваться в Microsoft Entra ID и перейти в — Корпоративные приложения:
Открыть — Управление → Все приложения и создать Новое приложение:
В Обзор коллекции Microsoft Entra выбрать — Создать собственное приложение:
Выполнить следующие действия:
- Заполнить Отображаемое имя (пример: passwork-sp);
- Что вы хотите сделать... — Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции).
После создания перейти в Управление → Единый вход и открыть SAML:
Открыть Базовая конфигурация SAML, нажать на Изменить.
Авторизоваться в веб-интерфейсе Пассворка и перейти в Настройки и пользователи → Настройки SSO, скопировать адреса конечных точек аутентификации из SP (Пассворка) в IDP (Microsoft Entra ID):
- Идентификатор (сущности) — https://passwork.example.ru/api/v1/sso/metadata
- URL-адрес ответа — https://passwork.example.ru/api/v1/sso/acs
- URL-адрес для выхода — https://passwork.example.ru/api/v1/sso/sls
В зависимости от нужного вида логина пользователя в Пассворке, вы можете настроить правила обработки так, чтобы формат пользователя мог быть следующим:
- username
Пожалуйста, выберите необходимый формат логина пользователя в Пассворке и выполните настройку.
В Настройке единого входа с помощью SAML открыть — Атрибуты и утверждения:
Открыть Уникальный идентификатор пользователя (ID) и выполнить следующие изменения:
- Источник — Преобразование;
- Преобразование — ExtractMailPrefix();
- Параметр 1 — Атрибут;
- Имя атрибута — user.userprincipalname.
Сохранить изменения и перейти в Атрибуты и утверждения.
Перейти в Атрибуты и утверждения и Добавить новое утверждение:
- Добавление нового дополнительного утверждения для displayName:
- Имя — displayName;
- Источник — Атрибут;
- Атрибут источника — user.displayname;
- Сохранить созданное дополнительное утверждение.
- Добавление нового дополнительного утверждения для emailAddress:
- Имя — emailAddress;
- Источник — Атрибут;
- Атрибут источника — user.mail;
- Сохранить созданное дополнительное утверждение.
Авторизоваться в веб-интерфейсе Пассворка, перейти в — Настройки и пользователи → Настройки SSO и заполнить атрибуты сопоставления:
- Атрибут электронной почты — emailAddress;
- Атрибут полного имени — displayName.
В Настройке единого входа с помощью SAML → Настройка passwork-sp скопировать адреса конечных точек аутентификации:
Открыть — Настройки и пользователи → Настройки SSO и заполнить значения:
- Идентификатор (Entity ID) — https://sts.windows.net/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/
- Url-адрес входа — https://login.microsoftonline.com/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/saml2
- Url-адрес выхода — https://login.microsoftonline.com/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/saml2
В Настройке единого входа с помощью SAML → Сертификаты SAML получить SSL сертификат в base64 формате:
Полученный SSL сертификат открыть с помощью Блокнота, скопировать и поместить в соответствующее поле — Настройки и пользователи → Настройки SSO.
В настоящий момент в Пассворке не предусмотрен алгоритм обработки дополнительной идентификации при SSO интеграции, включая разные виды биометрии.
В случае ошибки идентификации в результате обмена с iDP (Microsoft Entra ID) необходимо поместить в JSON формате следующее содержимое:
Открыть окно авторизации в веб-интерфейсе Пассворка и выполнить вход через SSO для проверки корректной настройки:
