Конфигурация SSO c AD FS

к сведению

В инструкции в качестве примера используется имя сервера AD FS с ssotest.passwork.org и имя сервера Пассворка passwork.passwork.org

Проверка настроек AD FS

Откройте Управление AD FS и проверьте настройки, кликнув Изменить свойства службы федерации.

Убедитесь, что поля на вкладке Общие соответствуют именам в DNS-записи и имени в сертификате. Адрес в поле Идентификатор службы федерации также будет использоваться при настройке SSO SAML 2.0 на стороне Пассворка.

В Управление AD FS откройте Сертификаты, выберите сертификат из Для подписи маркера и экспортируйте его в base64. Позже содержимое необходимо будет вставить в настройки SSO.

Настройка отношений доверия проверяющей стороны

Выберите Отношения доверия проверяющей стороны и кликните Добавить отношение доверия проверяющей стороны.

Выполните следующие действия:

1. Выберите Поддерживающие утверждения.
2. Выберите Ввод данных о проверяющей стороне вручную.
3. Укажите отображаемое имя.
4. В Настройка сертификата нажмите Далее.
5. Выберите Включить поддержку протокола SAML 2.0 Web SSO и добавьте URL проверяющей стороны — https://passwork.passwork.org/sso/acs.
6. Добавьте https://passwork.passwork.org/sso/metadata в Идентификатор отношения доверия проверяющей стороны.
7. В Выбрать политику управления доступом нажмите Далее.
8. В Готовность для добавления отношения доверия нажмите Далее.
9. Нажмите Закрыть.

Откройте Свойства вашего отношения доверия проверяющей стороны, выберите Конечные точки, кликните Добавить SAML, в Тип конечной точки выберите Завершение сеанса SAML и введите https://passwork.passwork.org/sso/sls в Доверенный URL адрес.

Настройка правил преобразования выдачи

Перейдите на Отношения доверия проверяющей стороны и выберите Изменить политику подачи запросов для созданного отношения доверия. Добавьте правило Отправка атрибутов LDAP как утверждение. Выберите атрибут LDAP из хранилища атрибутов, содержащий User Principal Name, и сопоставьте его с типом исходящего утверждения UPN:

Создайте второе правило Преобразование входящего утверждения. Установите Name ID как тип исходящего утверждения:

Настройка SSO в Пассворке

Укажите необходимые данные и вставьте содержимое экспортированного файла сертификата в поле Сертификат:

к сведению

Добавление файла sso.php изменяет поведение SSO на то, которое требуется для работы с AD FS

Создайте файл: <path-to-passwork>/app/config/sso.php

Поместите в созданный файл следующее содержимое:

<?php
return [
    'sp'  => [
        'entityId'                 => "https://passwork.passwork.org/sso/metadata",
        'assertionConsumerService' => [
            'url' => "https://passwork.passwork.org/sso/acs",
        ],
        'singleLogoutService'      => [
            'url' => "https://passwork.passwork.org/sso/sls",
        ],
        'NameIDFormat'             => 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient',
    ],
];

На этом установка завершена. Возможно, вам потребуется перезапустить сервер или службу AD FS.

Чтобы исключить ошибки, связанные с сертификатами, можно воспользоваться командами PowerShell:

Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none"
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none"

---