Конфигурация SSO c AD FS
В инструкции в качестве примера используется имя сервера AD FS с ssotest.passwork.org и имя сервера Пассворка passwork.passwork.org
Открыть Управление AD FS и проверить настройки, кликнув Изменить свойства службы федерации.
Убедитесь, что поля на вкладке Общие соответствуют именам в DNS-записи и имени в сертификате. Адрес в поле Идентификатор службы федерации также будет использоваться при настройке SSO SAML 2.0 на стороне Пассворка.

В Управление AD FS открыть Сертификаты, выбрать сертификат из Для подписи маркера и экспортировать его в base64. Позже содержимое необходимо будет вставить в настройки SSO.

Выбрать Отношения доверия проверяющей стороны и кликнуть Добавить отношение доверия проверяющей стороны.

Выполнить следующие действия:
- Выбрать Поддерживающие утверждения.
- Выбрать Ввод данных о проверяющей стороне вручную.
- Указать отображаемое имя.
- В Настройка сертификата нажать Далее.
- Выбрать Включить поддержку протокола SAML 2.0 Web SSO и добавить URL проверяющей стороны — https://passwork.passwork.org/sso/acs.
- Добавить https://passwork.passwork.org/sso/metadata в Идентификатор отношения доверия проверяющей стороны.
- В Выбрать политику управления доступом нажать Далее.
- В Готовность для добавления отношения доверия нажать Далее.
- Нажать Закрыть.
Открыть Свойства вашего отношения доверия проверяющей стороны, выбрать Конечные точки, кликнуть Добавить SAML, в Тип конечной точки выбрать Завершение сеанса SAML и ввести https://passwork.passwork.org/sso/sls в Доверенный URL адрес.

Перейти на Отношения доверия проверяющей стороны и выбрать Изменить политику подачи запросов для созданного отношения доверия. Добавить правило Отправка атрибутов LDAP как утверждение. Выбрать атрибут LDAP из хранилища атрибутов, содержащий User Principal Name, и сопоставить его с типом исходящего утверждения UPN:

Создать второе правило Преобразование входящего утверждения. Установить Name ID как тип исходящего утверждения:

Указать необходимые данные и вставить содержимое экспортированного файла сертификата в поле Сертификат:

Добавление файла sso.php изменяет поведение SSO на то, которое требуется для работы с AD FS
Создать файл: <path-to-passwork>/app/config/sso.php
Поместить в созданный файл следующее содержимое:
На этом установка завершена. Возможно, вам потребуется перезапустить сервер или службу AD FS.
Чтобы исключить ошибки, связанные с сертификатами, можно воспользоваться командами PowerShell: