ADFS: различия между версиями
Материал из Planfix
Artem (обсуждение | вклад) (Новая страница: «{{#seo: |title=ADFS |titlemode=append |keywords=планфикс, Single Sign-On, ADFS |description=ADFS }} == Перейти == *SSO *Интеграции») |
Artem (обсуждение | вклад) |
||
| (не показано 11 промежуточных версий этого же участника) | |||
| Строка 5: | Строка 5: | ||
|description=ADFS | |description=ADFS | ||
}} | }} | ||
Интеграция с Active Directory Federation Service (ADFS) позволяет сотрудникам вашей компании входить в ПланФикс с использованием единого пароля [[SSO]]. Это упрощает авторизацию, повышает безопасность и облегчает администрирование учетных записей. | |||
== Настройка Single Sign-On (SSO) == | |||
=== Шаги в ПланФиксе === | |||
*Перейдите в раздел Управление аккаунтом — Интеграции — Single Sign-On. | |||
*Активируйте интеграцию с Active Directory Federation Service (ADFS). | |||
После этого перейдите к настройке на стороне вашего ADFS-сервера. | |||
== Шаги в ADFS == | |||
=== Создание Relying Party Trust === | |||
#В панели ADFS Management перейдите в Trust Relationships — Relying Party Trusts и нажмите Add Relying Party Trust… | |||
#На первом экране выберите Claims aware — Next. | |||
#На шаге Select Data Source выберите Enter data about the relying party manually — Next. | |||
#Укажите Display name, например: Planfix. | |||
#Нажмите Next → Next. | |||
#Отметьте Enable support for the SAML 2.0 Web SSO protocol. | |||
#В поле Relying party SAML 2.0 SSO service URL введите URL из настроек интеграции в ПланФиксе <pre>https://{account_planfix_url}/saml2/login/sso/adfs</pre> | |||
#Нажмите Next. | |||
#На шаге Configure Identifiers нажмите Add и введите Identifier (Entity ID) из ПланФикса <pre>https://{account_planfix_url}/saml2/service-provider-metadata/adfs</pre> | |||
#Нажмите Next → Close. | |||
== Настройка правил выдачи Claim'ов == | |||
*Выберите созданный Relying Party Trust, затем в правой панели нажмите Edit Claim Issuance Policy. | |||
*Нажмите Add Rule… | |||
=== Отправка LDAP-атрибутов === | |||
*Выберите Send LDAP Attributes as Claims | |||
*Нажмите Next и укажите следующее: | |||
:{| class="wikitable" | |||
|- | |||
| '''LDAP Attribute''' | |||
| '''Outgoing Claim Type''' | |||
|- | |||
| Display-Name | |||
| Name | |||
|- | |||
| Given-Name | |||
| Given Name | |||
|- | |||
| Surname | |||
| Surname | |||
|- | |||
| User-Principal-Name | |||
| E-Mail Address | |||
|} | |||
*Нажмите Finish. | |||
=== Форматирование Name ID как Email === | |||
#Нажмите Add Rule… | |||
#Выберите шаблон Transform an Incoming Claim | |||
#Заполните поля: | |||
##Name: Format NameID as Email | |||
##Incoming claim type: UPN | |||
##Outgoing claim type: Name ID | |||
##Outgoing Name ID format: Email | |||
##Pass through all claim values: включено (✓) | |||
#Нажмите Finish. | |||
== Важно == | |||
Не создавайте дополнительное правило Send LDAP Attributes as Claims для Name ID — только правило Transform an Incoming Claim гарантирует, что в <NameID Format="…"> будет использован формат emailAddress. | |||
== Финальный шаг == | |||
*Вернитесь в ПланФикс и в настройках интеграции с ADFS заполните поле Metadata URI: <pre>https://<adfs-server>/FederationMetadata/2007-06/FederationMetadata.xml</pre> | |||
*Сохраните изменения. | |||
== Перейти == | == Перейти == | ||
*[[SSO]] | *[[SSO]] | ||
*[[Интеграции]] | *[[Интеграции]] | ||
Текущая версия от 08:41, 6 августа 2025
Интеграция с Active Directory Federation Service (ADFS) позволяет сотрудникам вашей компании входить в ПланФикс с использованием единого пароля SSO. Это упрощает авторизацию, повышает безопасность и облегчает администрирование учетных записей.
Настройка Single Sign-On (SSO)
Шаги в ПланФиксе
- Перейдите в раздел Управление аккаунтом — Интеграции — Single Sign-On.
- Активируйте интеграцию с Active Directory Federation Service (ADFS).
После этого перейдите к настройке на стороне вашего ADFS-сервера.
Шаги в ADFS
Создание Relying Party Trust
- В панели ADFS Management перейдите в Trust Relationships — Relying Party Trusts и нажмите Add Relying Party Trust…
- На первом экране выберите Claims aware — Next.
- На шаге Select Data Source выберите Enter data about the relying party manually — Next.
- Укажите Display name, например: Planfix.
- Нажмите Next → Next.
- Отметьте Enable support for the SAML 2.0 Web SSO protocol.
- В поле Relying party SAML 2.0 SSO service URL введите URL из настроек интеграции в ПланФиксе
https://{account_planfix_url}/saml2/login/sso/adfs - Нажмите Next.
- На шаге Configure Identifiers нажмите Add и введите Identifier (Entity ID) из ПланФикса
https://{account_planfix_url}/saml2/service-provider-metadata/adfs - Нажмите Next → Close.
Настройка правил выдачи Claim'ов
- Выберите созданный Relying Party Trust, затем в правой панели нажмите Edit Claim Issuance Policy.
- Нажмите Add Rule…
Отправка LDAP-атрибутов
- Выберите Send LDAP Attributes as Claims
- Нажмите Next и укажите следующее:
LDAP Attribute Outgoing Claim Type Display-Name Name Given-Name Given Name Surname Surname User-Principal-Name E-Mail Address
- Нажмите Finish.
Форматирование Name ID как Email
- Нажмите Add Rule…
- Выберите шаблон Transform an Incoming Claim
- Заполните поля:
- Name: Format NameID as Email
- Incoming claim type: UPN
- Outgoing claim type: Name ID
- Outgoing Name ID format: Email
- Pass through all claim values: включено (✓)
- Нажмите Finish.
Важно
Не создавайте дополнительное правило Send LDAP Attributes as Claims для Name ID — только правило Transform an Incoming Claim гарантирует, что в <NameID Format="…"> будет использован формат emailAddress.
Финальный шаг
- Вернитесь в ПланФикс и в настройках интеграции с ADFS заполните поле Metadata URI:
https://<adfs-server>/FederationMetadata/2007-06/FederationMetadata.xml
- Сохраните изменения.