Релиз кандидат
...
Администрирование
Настройки SSO

Конфигурация SSO с Microsoft Entra ID (Azure AD)

14min

Перед настройкой SSO убедитесь, что в config.env параметр APP_URL соответствует текущему домену Пассворка, пример — APP_URL=https://passwork.example.ru

Для примера используется следующий сервер Пассворка — passwork.example.ru

Добавление отношения доверия проверящей стороны

Авторизоваться в Microsoft Entra ID и перейти в — Корпоративные приложения:

Document image


Открыть — УправлениеВсе приложения и создать Новое приложение:

Document image


В Обзор коллекции Microsoft Entra выбрать — Создать собственное приложение:

Document image


Выполнить следующие действия:

  1. Заполнить Отображаемое имя (пример: passwork-sp);
  2. Что вы хотите сделать... — Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции).
Document image




После создания перейти в УправлениеЕдиный вход и открыть SAML:

Document image


Открыть Базовая конфигурация SAML, нажать на Изменить.

Авторизоваться в веб-интерфейсе Пассворка и перейти в Настройки и пользователиНастройки SSO, скопировать адреса конечных точек аутентификации из SP (Пассворка) в IDP (Microsoft Entra ID):

  1. Идентификатор (сущности) — https://passwork.example.ru/api/v1/sso/metadata
  2. URL-адрес ответа — https://passwork.example.ru/api/v1/sso/acs
  3. URL-адрес для выхода — https://passwork.example.ru/api/v1/sso/sls
Document image


Настройка правил обработки запросов от SP (Пассворка) в IDP (Microsoft Entra ID)

В зависимости от нужного вида логина пользователя в Пассворке, вы можете настроить правила обработки так, чтобы формат пользователя мог быть следующим:

Пожалуйста, выберите необходимый формат логина пользователя в Пассворке и выполните настройку.

В Настройке единого входа с помощью SAML открыть — Атрибуты и утверждения:

Document image


Открыть Уникальный идентификатор пользователя (ID) и выполнить следующие изменения:

  1. Источник — Преобразование;
  2. Преобразование — ExtractMailPrefix();
  3. Параметр 1 — Атрибут;
  4. Имя атрибута — user.userprincipalname.
Document image


Сохранить изменения и перейти в Атрибуты и утверждения.

Настройка правил обработки дополнительных атрибутов для передачи в SP

Перейти в Атрибуты и утверждения и Добавить новое утверждение:

  1. Добавление нового дополнительного утверждения для displayName:
    1. Имя — displayName;
    2. Источник — Атрибут;
    3. Атрибут источника — user.displayname;
  2. Сохранить созданное дополнительное утверждение.
Document image

  1. Добавление нового дополнительного утверждения для emailAddress:
    1. Имя — emailAddress;
    2. Источник — Атрибут;
    3. Атрибут источника — user.mail;
  2. Сохранить созданное дополнительное утверждение.
Document image


Настройка и заполнение параметров единого входа (SSO) в Пассворке

Заполнение значений «Атрибуты пользователя»

Авторизоваться в веб-интерфейсе Пассворка, перейти в — Настройки и пользователиНастройки SSO и заполнить атрибуты сопоставления:

  • Атрибут электронной почты — emailAddress;
  • Атрибут полного имени — displayName.

Заполнение значений «Поставщик удостоверений → Пассворк»

В Настройке единого входа с помощью SAMLНастройка passwork-sp скопировать адреса конечных точек аутентификации:

Document image


Открыть — Настройки и пользователиНастройки SSO и заполнить значения:

  • Идентификатор (Entity ID) — https://sts.windows.net/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/
  • Url-адрес входа — https://login.microsoftonline.com/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/saml2
  • Url-адрес выхода — https://login.microsoftonline.com/ba50022d-xxxx-xxxx-xxxx-1145c6c9ed97/saml2

Заполнение значения «Сертификат»

В Настройке единого входа с помощью SAML Сертификаты SAML получить SSL сертификат в base64 формате:

Document image


Полученный SSL сертификат открыть с помощью Блокнота, скопировать и поместить в соответствующее поле — Настройки и пользователиНастройки SSO.

Заполнение значения «Расширенные настройки»

В настоящий момент в Пассворке не предусмотрен алгоритм обработки дополнительной идентификации при SSO интеграции, включая разные виды биометрии.

В случае ошибки идентификации в результате обмена с iDP (Microsoft Entra ID) необходимо поместить в JSON формате следующее содержимое:

json


Открыть окно авторизации в веб-интерфейсе Пассворка и выполнить вход через SSO для проверки корректной настройки:

Document image