Конфигурация SSO с Microsoft Entra ID (Azure AD)

перед настройкой sso убедитесь, что в config env параметр app url соответствует текущему домену пассворка, пример — app url=https //passwork example ru для примера используется следующий сервер пассворка — passwork example ru добавление отношения доверия проверящей стороны авторизоваться в microsoft entra id и перейти в — корпоративные приложения открыть — управление → все приложения и создать новое приложение в обзор коллекции microsoft entra выбрать — создать собственное приложение выполнить следующие действия заполнить отображаемое имя (пример passwork sp ); что вы хотите сделать — интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции) после создания перейти в управление → единый вход и открыть saml открыть базовая конфигурация saml , нажать на изменить авторизоваться в веб интерфейсе пассворка и перейти в настройки и пользователи → настройки sso , скопировать адреса конечных точек аутентификации из sp (пассворка) в idp (microsoft entra id) идентификатор (сущности) — https //passwork example ru/api/v1/sso/metadata url адрес ответа — https //passwork example ru/api/v1/sso/acs url адрес для выхода — https //passwork example ru/api/v1/sso/sls пример заполненных конечных точек аутентификации из sp настройка правил обработки запросов от sp (пассворка) в idp (microsoft entra id) в зависимости от нужного вида логина пользователя в пассворке, вы можете настроить правила обработки так, чтобы формат пользователя мог быть следующим username username\@passwork local пожалуйста, выберите необходимый формат логина пользователя в пассворке и выполните настройку в настройке единого входа с помощью saml открыть — атрибуты и утверждения настройка правил обработки для username\@passwork local формата по умолчанию после создания приложения в microsoft entra id формат пользователя после аутентификации в пассворке формируется username\@passwork local дополнительных изменений производить не нужно пример созданного утверждения по умолчанию настройка правил обработки для username формата открыть уникальный идентификатор пользователя (id) и выполнить следующие изменения источник — преобразование ; преобразование — extractmailprefix() ; параметр 1 — атрибут ; имя атрибута — user userprincipalname сохранить изменения и перейти в атрибуты и утверждения настройка правил обработки дополнительных атрибутов для передачи в sp перейти в атрибуты и утверждения и добавить новое утверждение добавление нового дополнительного утверждения для displayname имя — displayname ; источник — атрибут ; атрибут источника — user displayname ; сохранить созданное дополнительное утверждение добавление нового дополнительного утверждения для emailaddress имя — emailaddress ; источник — атрибут ; атрибут источника — user mail ; сохранить созданное дополнительное утверждение настройка и заполнение параметров единого входа (sso) в пассворке заполнение значений « атрибуты пользователя » авторизоваться в веб интерфейсе пассворка, перейти в — настройки и пользователи → настройки sso и заполнить атрибуты сопоставления атрибут электронной почты — emailaddress ; атрибут полного имени — displayname заполнение значений «поставщик удостоверений → пассворк» в настройке единого входа с помощью saml → настройка passwork sp скопировать адреса конечных точек аутентификации открыть — настройки и пользователи → настройки sso и заполнить значения идентификатор (entity id) — https //sts windows net/ba50022d xxxx xxxx xxxx 1145c6c9ed97/ url адрес входа — https //login microsoftonline com/ba50022d xxxx xxxx xxxx 1145c6c9ed97/saml2 url адрес выхода — https //login microsoftonline com/ba50022d xxxx xxxx xxxx 1145c6c9ed97/saml2 заполнение значения «сертификат» в настройке единого входа с помощью saml → сертификаты saml получить ssl сертификат в base64 формате полученный ssl сертификат открыть с помощью блокнота , скопировать и поместить в соответствующее поле — настройки и пользователи → настройки sso пример экспортированного ключа в base64 формате base64 begin certificate miie5dccasygawibagiqm/9slljzjlbhasgqvsiepzanbgkqhkig9w0baqsfadau mswwkgydvqqdeynbreztifnpz25pbmcglsbhzc1mcy5wyxnzd29yay5sb2nhbdae fw0yntaymtkymda3mjfafw0ynjaymtkymda3mjfamc4xldaqbgnvbamti0ferlmg u2lnbmluzyatigfklwzzlnbhc3n3b3jrlmxvy2fsmiicijanbgkqhkig9w0baqef aaocag8amiiccgkcageas6isoglhwqdncr1tyqkgs+dwmi3doimfdpqngad/s5vd fngfsz048zfyqjan9ypnu8uctftokj2bqzrpoqat2lpaaivytdlkbmmbaayohoqh rad6nqazuycbw2vmwwa4sa8htdwwwzpofhx3ar5ebw4iqo0shwhoyciwmh0td9+4 lqiy7vkht3fcucudl+kopjnsvdjlvbpg7zpfkylgy/anp9+90yt/l1/mj682bv3b hgapbaozag7qs6pa94wpmkylnnf2c89vsfbaa+kjfwjhk5ympbwluxolnx7zz6bx bqkdu/w7ptqiiiffy0rlnwwyaqbkkh77c9okwle3k54ohnayjhxf332ck7pspsvt frdqagygzqf/ehpqg7kmppr6iiz76v9fmzz59ruyala9f0yyk2npildy1ehldm19 h+72t/zfeolkexr+bbeocqalnqgxss0ydrwtwmebcqnrpis4153298veqkto1suz hqnbookmlguymqapn50kiffezrk/ghfoxby16ezlyayvywqaab5weabcgdb2p9rn kzheyz3ib/cqzps1dyszhzj9sls0yr8aqgyml0pyks7ajpr9glgskkz/7q6pooty jz7qlcbgapacujfoqur2ocpzu/tsvryhhpnzw41hiejgwbvj6wlpufqyjxp5rxkc aweaatanbgkqhkig9w0baqsfaaocageabkojd7u1qnvfl4hsvnscsutqxi4knvxi nkqxzwcpkdcxpzpjdtmpsgukzqablecgqpx+v94f32ba2bk8cgp08ra2orxexr7r xccm3bvuasi6nmbzkhpm6y/3awadou59k8qe1c+drsrhhm9927z4qwmkylfkeql4 4wbybw/jgqs7hqmbxrdfctndqzgkce+svat9ondp86tophbsndruyxqfqkb/lsbq cstg/cc1b9xj+fi3xuxel/33e9/p8ovfko5slw5ku6qet9cg6ga0oreib+8fbbiv loll4aisn44/wq6mu3biw77l1tpouqpf11g9fpuov10wrttotk4isrymhsbrga/r rzmbwh2mgkls1vlcigrue6kmiku743d8oylqb7n4+o+h56yliuwwxumm1fnnciov tvutubpso6ogtuo5tcd9uqad5r1+rf5a68yuslmgu+4me9hdy/143bzmdpexkcut jfzoi9v4ppmofgewzdymtxu40okyzh/grnxw9aozeplfr8vnf+lhgvhefwkvvwdv j7n49c1wxzxk7rdaswkeydglc1bysfqoiykoucfo+ncdbi6r44cxbrwk1eeslucq x2llis2nokg8px2bpqpctuzgcleivpg0rrovksnj3l3brtfo3jwooqxxofvubk8h ufmslzpaw1i= \ end certificate заполнение значения «расширенные настройки» в настоящий момент в пассворке не предусмотрен алгоритм обработки дополнительной идентификации при sso интеграции, включая разные виды биометрии в случае ошибки идентификации в результате обмена с idp (microsoft entra id) необходимо поместить в json формате следующее содержимое json { "security" { "requestedauthncontext" false } } открыть окно авторизации в веб интерфейсе пассворка и выполнить вход через sso для проверки корректной настройки