Менеджерам обучения
API и интеграции
Настройка SAML SSO через AD FS

Настройка SAML SSO через AD FS

Настройка SSO (SAML) с AD FS (Microsoft Active Directory Federation Services)

Teachbase поддерживает технологию единого входа SAML 2.0 с использованием сервера ADFS в качестве поставщика удостоверений. Он предоставляется Microsoft с возможностью использовать учетные данные активного каталога для авторизации в Teachbase. Дополнительно внизу статьи есть файлы с настройками нашего тестового ADFS. Вместо adfs-sso укажите ваш поддомен. Claim-ов всего 2, примеры также в файле.

Необходимо соответствовать следующим требованиям для использования ADFS:

  • К аккаунту в Teachbase необходимо подключить домен/субдомен;
  • Windows Server 2008R2/2012/2012R2;
  • Настроенная служба AD FS 2.0/3.0;
  • SSL-сертификат для вашей страницы авторизации AD FS и отпечаток этого сертификата;
  • В качестве возвращаемого атрибута (Name ID) необходимо передавать email.

Настройка на стороне Teachbase

Для внесения настроек SAML SSO, вам требуется перейти в настройки аккаунта -> раздел "API и интеграции", в списе возможных интеграций найти "Настройка SAML для Single Sign-On".

Здесь необходимо заполнить следующие обязательные параметры:

Название параметраОписание
Metadata UrlАдрес вашего IdP-сервера, указывающий на файл с мета-данными
Sign In UrlПуть к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления логина
Logout UrlПуть к серверному скрипту, который генерирует SAML запросы подтверждения идентификатора для осуществления выхода
Certificate FingerprintСокращённая версия сертификата открытого ключа (opens in a new tab) проверки электронной подписи. Используется для подтверждения подписей запросов, исходящих от поставщика учётных записей (IdP). Подробнее о fingerprint. (opens in a new tab)

Необязательные параметры:

  • Вход через ldp - при переходе по ссылке на ваш аккаунт, пользователь будет перенаправлен для авторизации в ваш AD FS.
  • Вход через мастер-аккаунт - если у вас подключён мастер-аккаунт, в котором прописаны настройки SAML SSO, то в подаккаунтах повторно прописывать их не требуется, достаточно отметить этот чекбокс.

Далее необходимо:

  1. Прописать свой домен в настройках аккаунта. О том как это сделать подробнее в нашей инструкции
  2. Перейти по ссылке https://вашдомен/auth/sso/saml/metadata (opens in a new tab) (вашдомен - необходимо заменить на Ваш домен из аккаунта Teachbase).

Настройка автоматического создания пользователя (opens in a new tab)

После настройки на странице входа появится ссылка "Войти через корпоративные системы":

Обратите внимание: список пользователи между Teachbase и ADFS не синхронизируются в моменте. То есть, после настройки интеграции, пользователи из вашей системы не появятся сразу же в списке пользователей на Teachbase.
Если в настройках аккаунта на Teachbase, в разделе "Configure SAML Settings for Single Sign-On ADFS" включен параметр - "Создать пользователя" - то, когда ваш пользователь авторизуется на платформе, если его еще нет в аккаунте, то он создастся. Соответственно, если пользователь не входил ни разу в систему еще - то в списке "Пользователей" его не будет.

Настройка JWT для Single Sign-OnНастройка SSO (SAML) c Azure AD