ADFS: различия между версиями
Материал из Planfix
Artem (обсуждение | вклад) Нет описания правки |
Artem (обсуждение | вклад) Нет описания правки |
||
| Строка 16: | Строка 16: | ||
== Шаги в ADFS == | == Шаги в ADFS == | ||
'''Создание Relying Party Trust''' | '''Создание Relying Party Trust''' | ||
#В панели ADFS Management перейдите в Trust Relationships — Relying Party Trusts и нажмите Add Relying Party Trust… | |||
#На первом экране выберите Claims aware — Next. | |||
#На шаге Select Data Source выберите Enter data about the relying party manually — Next. | |||
#Укажите Display name, например: Planfix. | |||
#Нажмите Next → Next. | |||
#Отметьте Enable support for the SAML 2.0 Web SSO protocol. | |||
#В поле Relying party SAML 2.0 SSO service URL введите URL из настроек интеграции в ПланФиксе: | |||
https://{account_planfix_url}/saml2/login/sso/adfs | |||
#Нажмите Next. | |||
#На шаге Configure Identifiers нажмите Add и введите Identifier (Entity ID) из ПланФикса: | |||
https://{account_planfix_url}/saml2/service-provider-metadata/adfs | |||
#Нажмите Next → Close. | |||
== Настройка правил выдачи Claim'ов == | |||
*Выберите созданный Relying Party Trust, затем в правой панели нажмите Edit Claim Issuance Policy. | |||
*Нажмите Add Rule… | |||
=== Отправка LDAP-атрибутов === | |||
*Выберите Send LDAP Attributes as Claims | |||
*Нажмите Next и укажите следующее: | |||
Таблица | |||
Нажмите | *Нажмите Finish. | ||
=== Форматирование Name ID как Email === | |||
#Нажмите Add Rule… | |||
#Выберите шаблон Transform an Incoming Claim | |||
#Заполните поля: | |||
*Name: Format NameID as Email | |||
*Incoming claim type: UPN | |||
*Outgoing claim type: Name ID | |||
*Outgoing Name ID format: Email | |||
*Pass through all claim values: включено (✓) | |||
#Нажмите Finish. | |||
== Важно == | |||
Не создавайте дополнительное правило Send LDAP Attributes as Claims для Name ID — только правило Transform an Incoming Claim гарантирует, что в <NameID Format="…"> будет использован формат emailAddress. | |||
== Финальный шаг == | |||
*Вернитесь в ПланФикс и в настройках интеграции с ADFS заполните поле Metadata URI: | |||
https://<adfs-server>/FederationMetadata/2007-06/FederationMetadata.xml | |||
*Сохраните изменения. | |||
== Перейти == | == Перейти == | ||
*[[SSO]] | *[[SSO]] | ||
*[[Интеграции]] | *[[Интеграции]] | ||
Версия от 08:34, 6 августа 2025
Интеграция с Active Directory Federation Service (ADFS) позволяет сотрудникам вашей компании входить в ПланФикс с использованием единого пароля SSO. Это упрощает авторизацию, повышает безопасность и облегчает администрирование учетных записей.
Настройка Single Sign-On (SSO)
Шаги в ПланФиксе
- Перейдите в раздел Управление аккаунтом — Интеграции — Single Sign-On.
- Активируйте интеграцию с Active Directory Federation Service (ADFS).
После этого перейдите к настройке на стороне вашего ADFS-сервера.
Шаги в ADFS
Создание Relying Party Trust
- В панели ADFS Management перейдите в Trust Relationships — Relying Party Trusts и нажмите Add Relying Party Trust…
- На первом экране выберите Claims aware — Next.
- На шаге Select Data Source выберите Enter data about the relying party manually — Next.
- Укажите Display name, например: Planfix.
- Нажмите Next → Next.
- Отметьте Enable support for the SAML 2.0 Web SSO protocol.
- В поле Relying party SAML 2.0 SSO service URL введите URL из настроек интеграции в ПланФиксе:
https://{account_planfix_url}/saml2/login/sso/adfs
- Нажмите Next.
- На шаге Configure Identifiers нажмите Add и введите Identifier (Entity ID) из ПланФикса:
https://{account_planfix_url}/saml2/service-provider-metadata/adfs
- Нажмите Next → Close.
Настройка правил выдачи Claim'ов
- Выберите созданный Relying Party Trust, затем в правой панели нажмите Edit Claim Issuance Policy.
- Нажмите Add Rule…
Отправка LDAP-атрибутов
- Выберите Send LDAP Attributes as Claims
- Нажмите Next и укажите следующее:
Таблица
- Нажмите Finish.
Форматирование Name ID как Email
- Нажмите Add Rule…
- Выберите шаблон Transform an Incoming Claim
- Заполните поля:
- Name: Format NameID as Email
- Incoming claim type: UPN
- Outgoing claim type: Name ID
- Outgoing Name ID format: Email
- Pass through all claim values: включено (✓)
- Нажмите Finish.
Важно
Не создавайте дополнительное правило Send LDAP Attributes as Claims для Name ID — только правило Transform an Incoming Claim гарантирует, что в <NameID Format="…"> будет использован формат emailAddress.
Финальный шаг
- Вернитесь в ПланФикс и в настройках интеграции с ADFS заполните поле Metadata URI:
https://<adfs-server>/FederationMetadata/2007-06/FederationMetadata.xml
- Сохраните изменения.