Конфигурация SSO c AD FS

7min
В инструкции в качестве примера используется имя сервера AD FS с ssotest.passwork.org и имя сервера Пассворка passwork.passwork.org
Проверка настроек AD FS
Открыть Управление AD FS и проверить настройки, кликнув Изменить свойства службы федерации.
Убедитесь, что поля на вкладке Общие соответствуют именам в DNS-записи и имени в сертификате. Адрес в поле Идентификатор службы федерации также будет использоваться при настройке SSO SAML 2.0 на стороне Пассворка.
﻿
В Управление AD FS открыть Сертификаты, выбрать сертификат из Для подписи маркера и экспортировать его в base64. Позже содержимое необходимо будет вставить в настройки SSO.
﻿
Настройка отношений доверия проверяющей стороны
Выбрать Отношения доверия проверяющей стороны и кликнуть Добавить отношение доверия проверяющей стороны.
﻿
Выполнить следующие действия:
Выбрать Поддерживающие утверждения.
Выбрать Ввод данных о проверяющей стороне вручную.
Указать отображаемое имя.
В Настройка сертификата нажать Далее.
Выбрать Включить поддержку протокола SAML 2.0 Web SSO и добавить URL проверяющей стороны — https://passwork.passwork.org/sso/acs.
Добавить https://passwork.passwork.org/sso/metadata в Идентификатор отношения доверия проверяющей стороны.
В Выбрать политику управления доступом нажать Далее.
В Готовность для добавления отношения доверия нажать Далее.
Нажать Закрыть.
Открыть Свойства вашего отношения доверия проверяющей стороны, выбрать Конечные точки, кликнуть Добавить SAML, в Тип конечной точки выбрать Завершение сеанса SAML и ввести https://passwork.passwork.org/sso/sls в Доверенный URL адрес.
﻿
Настройка правил преобразования выдачи
Перейти на Отношения доверия проверяющей стороны и выбрать Изменить политику подачи запросов для созданного отношения доверия. Добавить правило Отправка атрибутов LDAP как утверждение. Выбрать атрибут LDAP из хранилища атрибутов, содержащий User Principal Name, и сопоставить его с типом исходящего утверждения UPN:
﻿
Создать второе правило Преобразование входящего утверждения. Установить Name ID как тип исходящего утверждения:
﻿
Настройка SSO в Пассворке
Указать необходимые данные и вставить содержимое экспортированного файла сертификата в поле Сертификат:
﻿
Добавление файла sso.php изменяет поведение SSO на то, которое требуется для работы с AD FS
Создать файл: <path-to-passwork>/app/config/sso.php
Поместить в созданный файл следующее содержимое:
PHP
<?php
return [
    'sp'  => [
        'entityId'                 => "https://passwork.passwork.org/sso/metadata",
        'assertionConsumerService' => [
            'url' => "https://passwork.passwork.org/sso/acs",
        ],
        'singleLogoutService'      => [
            'url' => "https://passwork.passwork.org/sso/sls",
        ],
        'NameIDFormat'             => 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient',
    ],
];
<?php
return [
    'sp'  => [
        'entityId'                 => "https://passwork.passwork.org/sso/metadata",
        'assertionConsumerService' => [
            'url' => "https://passwork.passwork.org/sso/acs",
        ],
        'singleLogoutService'      => [
            'url' => "https://passwork.passwork.org/sso/sls",
        ],
        'NameIDFormat'             => 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient',
    ],
];
﻿
На этом установка завершена. Возможно, вам потребуется перезапустить сервер или службу AD FS.
Чтобы исключить ошибки, связанные с сертификатами, можно воспользоваться командами PowerShell:
PowerShell
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none"
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none"
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none"
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none"
﻿
﻿
﻿
Обновлено 24 Jan 2025
Помогла ли вам эта страница?
Конфигурация SSO c Keycloak
Конфигурация SSO c Google