Администрирование
Настройки SSO

Конфигурация SSO c AD FS

7min

В инструкции в качестве примера используется имя сервера AD FS с ssotest.passwork.org и имя сервера Пассворка passwork.passwork.org

Проверка настроек AD FS

Открыть Управление AD FS и проверить настройки, кликнув Изменить свойства службы федерации.

Убедитесь, что поля на вкладке Общие соответствуют именам в DNS-записи и имени в сертификате. Адрес в поле Идентификатор службы федерации также будет использоваться при настройке SSO SAML 2.0 на стороне Пассворка.

Document image


В Управление AD FS открыть Сертификаты, выбрать сертификат из Для подписи маркера и экспортировать его в base64. Позже содержимое необходимо будет вставить в настройки SSO.

Document image


Настройка отношений доверия проверяющей стороны

Выбрать Отношения доверия проверяющей стороны и кликнуть Добавить отношение доверия проверяющей стороны.

Document image


Выполнить следующие действия:

  1. Выбрать Поддерживающие утверждения.
  2. Выбрать Ввод данных о проверяющей стороне вручную.
  3. Указать отображаемое имя.
  4. В Настройка сертификата нажать Далее.
  5. Выбрать Включить поддержку протокола SAML 2.0 Web SSO и добавить URL проверяющей стороныhttps://passwork.passwork.org/sso/acs.
  6. Добавить https://passwork.passwork.org/sso/metadata в Идентификатор отношения доверия проверяющей стороны.
  7. В Выбрать политику управления доступом нажать Далее.
  8. В Готовность для добавления отношения доверия нажать Далее.
  9. Нажать Закрыть.

Открыть Свойства вашего отношения доверия проверяющей стороны, выбрать Конечные точки, кликнуть Добавить SAML, в Тип конечной точки выбрать Завершение сеанса SAML и ввести https://passwork.passwork.org/sso/sls в Доверенный URL адрес.

Document image


Настройка правил преобразования выдачи

Перейти на Отношения доверия проверяющей стороны и выбрать Изменить политику подачи запросов для созданного отношения доверия. Добавить правило Отправка атрибутов LDAP как утверждение. Выбрать атрибут LDAP из хранилища атрибутов, содержащий User Principal Name, и сопоставить его с типом исходящего утверждения UPN:

Document image


Создать второе правило Преобразование входящего утверждения. Установить Name ID как тип исходящего утверждения:

Document image


Настройка SSO в Пассворке

Указать необходимые данные и вставить содержимое экспортированного файла сертификата в поле Сертификат:

Document image


Добавление файла sso.php изменяет поведение SSO на то, которое требуется для работы с AD FS

Создать файл: <path-to-passwork>/app/config/sso.php

Поместить в созданный файл следующее содержимое:

PHP


На этом установка завершена. Возможно, вам потребуется перезапустить сервер или службу AD FS.

Чтобы исключить ошибки, связанные с сертификатами, можно воспользоваться командами PowerShell:

PowerShell