View Source

Instalacja

Aby umożliwić logowanie za pomocą SSO, należy zainstalować i skonfigurować wtyczkę Plus SSO Authenticator.

Po prawidłowej konfiguracji, podczas wejścia na adres systemu PlusWorkflow użytkownik zostanie automatycznie przelogowany na stronę logowania do SSO. Aby zalogować się ręcznie do systemu należy wejść na adres systemu z dopiskiem /LoginManual.do. Będzie tam również opcja zalogowania się przez SSO za pomcą przycisku.

Przykład: https://www.test.plusworkflow.pl/PlusWorkflow/LoginManual.do

Konfiguracja (Azure)

Dodajemy aplikację za pomocą Microsoft Entra ID -> Aplikacje dla przedsiębiorstw -> Nowa aplikacja

Następnie wybieramy Utwórz własną aplikację

Dostępne Wtyczki i Moduły (Uniwersalne komponenty PWE Home) > Plus SSO Authenticator > image2024-2-2 8:59:12.png

Po utworzeniu przechodzimy do danej aplikacji i wybieramy metodę logowania jednokrotnego SAML

Dostępne Wtyczki i Moduły (Uniwersalne komponenty PWE Home) > Plus SSO Authenticator > image2024-2-2 9:0:33.png

Do skonfigurowania serwera SSO musimy przekazać dane:

Entity ID - powinno być w formacie URL. Jest to wygenerowany przez nas identyfikator identyfikujący nas na serwerze SSO. Musi zaczynać się od litery.
Przykład: https://www.test.plusworkflow.pl/PlusWorkflow/api/authentication/sso/id/testId-if7-fi6-xh-c0
Wymagane jest połączenie HTTPS
Reply URL - adres, na którym będziemy oczekiwać odpowiedzi z SSO. Jest to adres do systemu PlusWorkflow na endpoint /api/authentication/sso/login?provider=sso
Przykład: https://www.test.plusworkflow.pl/PlusWorkflow/api/authentication/sso/login?provider=sso
Wymagane jest połączenie HTTPS

W systemie PlusWorkflow konfigurujemy:

W parametrach systemu PlusWorkflow w Authentication.SSO ustawiamy parametr SingleSignOnURL podając adres do serwera SSO (należy skopiować adres URL logowania), na który zostanie przesłany SAMLRequest.
W Azure adres ten znajduje się w następującym miejscu:
Po zainstalowaniu wtyczki w Administracja -> Konfiguracja systemu -> Konfiguracja wtyczek pojawi się opcja Plus SSO Authenticator.

W pierwszej zakładce SAML REQUEST (JSON) możemy wybrać rozwiązanie autoryzacji SSO Solution, podać nazwę źródła danych na podstawie którego ma być utworzony użytkownik w systemie jeżeli jeszcze nie istnieje Create user from datasource id (więcej szczegółów tutaj), skonfogurować parametry wysyłane w requescie SAMLa, oraz dane na temat Key Store z kluczami do podpisywania wiadomości (tworzenie Key Store opisane tutaj):

W drugiej zakładc ENTITY DESCRIPTOR (XML) zapisujemy entity descriptor z certyfikatem(należy go pobrać i wkleić), który otrzymaliśmy po skonfigurowaniu SSO Azure.
W Azure certyfikat znajduje się w następującym miejscu:

Uwaga! Każda modyfikacja konfiguracji wymaga restartu wtyczki.

Identyfikacja użytkowników

Zwracany identyfikator z SSO porównywany jest z polem userid w systemie PlusWorkflow.

Jeżeli SSO zwraca adres e-mail użytkownika, można użyć interceptora uwierzytelniania, aby umożliwić logowanie do systemu za pomocą adresu e-mail Interceptory uwierzytelniania.