Перейти к основному содержимому
Версия: 7.0

Бесшовный вход через WIA и SAML

Бесшовный вход через WIA и SAML

WIA (Integrated Windows Authentication) позволяет выполнять SSO без ручного ввода логина и пароля. Пассворк в этом сценарии — SP, а проверку пользователя выполняет ваш IdP по SAML.

Что должно быть обеспечено в инфраструктуре

  • IdP принимает AuthnRequest от Пассворка и возвращает SAML Response на ACS Пассворка.
  • На IdP корректно настроено доверие к SP: Entity ID, ACS URL, сертификаты/подписи.
  • Клиенты доверяют TLS-сертификату IdP, DNS и сеть не ломают редиректы/POST SAML.
  • Политики браузера/ОС для Integrated Auth применяются централизованно (GPO/MDM).
  • На IdP определены условия, когда используется WIA, и fallback при несоответствии условий.

Дополнительные настройки в Пассворке

В разделе Настройки SSOДополнительные настройки задается SAML-конфигурация SP:

{
"sp": {
"entityId": "https://passwork.example.com/api/v1/sso/metadata",
"assertionConsumerService": {
"url": "https://passwork.example.com/api/v1/sso/acs"
},
"singleLogoutService": {
"url": "https://passwork.example.com/api/v1/sso/sls"
}
},
"NameIDFormat": "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
"security": {
"requestedAuthnContext": ["urn:federation:authentication:windows"]
}
}

requestedAuthnContext с urn:federation:authentication:windows запрашивает Windows-аутентификацию. Решение о применении WIA принимает IdP по своим политикам.

Универсальный поток аутентификации

  1. Пользователь нажимает Войти через SSO в Пассворке.
  2. Пассворк формирует SAML AuthnRequest и перенаправляет браузер на IdP.
  3. IdP проверяет условия и выполняет WIA (или fallback).
  4. IdP возвращает SAML Response на ACS Пассворка (/api/v1/sso/acs).
  5. Пассворк валидирует ответ, сопоставляет пользователя и открывает сессию.