ADFS (Active Directory Federation Services) — это компонент Windows Server, который используется для аутентификации в веб-приложениях. С его помощью можно настроить возможность регистрации и входа для ваших сотрудников, имеющих учетные записи в Active Directory в HRBOX.

Принцип работы ADFS показан на схеме ниже:

Открыть “ADFS Management”

Нажать на “Add Application Group”

Выбрать “Server application accessing a web API”

В “Redirect URI” указать “https://auth.hrbox.io/auth/oauth”

Сохранить у себя секретный ключ

В “Identifier” указать адрес вашего тенанта, для примера: “https://demo.hrbox.io”

Выбрать, как указано на изображениях:

Перейти в пункт “Certificates” и выбрать “Token-signing”, в открывшемся окне перейти на вкладку “Details”, запомнить алгоритм шифрования, нажать на кнопку “Copy to file”

Выбрать как на изображении

Открыть сохраненный сертификат для просмотра ключа

Перейти в HRBOX → Админка → Настройка → Общие настройки → Active Directory → ADFS, в домене указать домен ADFS-сервера.

Последующие поля заполнить из данных, которые были при создании “Add Application Group”.
Также можно добавить свою иконку и переименовать кнопку для входа.

После завершения всех настроек у ваших сотрудников появится возможность входить на портал через ADFS.

Чтобы авторизация сработала, пользователей нужно предварительно загрузить на платформу через 1С или эксель по инструкции. В таблице или карточках сотрудников 1С укажите дополнительное поле login с логином ADFS и сопоставьте его с полем login на портале:

Все сотрудники, которым будет загружен логин ADFS, смогут войти в систему со своим корпоративным паролем без дополнительной отправки приглашения. Нужно просто выбрать опцию «Войти через ADFS» на странице входа на портал и аккаунт автоматически будет активирован после первого входа:

Добавить для регистрации дополнительный адрес для редиректа, домен должен быть указан текущего тенанта:

Выбрать “Web API” и открыть для редактирования:

В поле “Relying party identifiers” должен быть указан домен текущего тенанта, например, как показано на изображении:

Выбрать пункт “Issuance Transform Rules”, добавить новое правило:

Выбрать “LDAP”

Написать название правила и выбрать в “Store” “Active Directory”, затем добавить указанные ниже аттрибуты для маппинга:

Перейти во вкладку “Client Permissions” и выбрать те scope, которые выбраны на скриншоте:

Использование native application позволит порталу получать из AD email пользователя из контактов и сопоставлять его с полем почтой авторизации на портале. В таком случае не нужно будет дополнительно вносить на портал информацию о логине пользователя в AD.

Открыть “ADFS Management”:

Нажать на “Add Application Group”:

Выбрать "Native application accessing a web API":

Сохранить "Client Identifier", В “Redirect URI” указать “https://auth.hrbox.io/auth/oauth”:

В “Identifier” указать адрес вашего тенанта, для примера: “https://demo.hrbox.io”:

Выбрать, как на скриншоте:

Перейти в пункт “Certificates” и выбрать “Token-signing”, в открывшемся окне перейти на вкладку “Details”, запомнить алгоритм шифрования, нажать на кнопку “Copy to file”:

Выбрать как на изображении:

Открыть сохраненный сертификат для просмотра ключа, его нужно будет потом скопировать и вставить на портале в настройках. Копировать нужно полностью с тегами BEGIN и END:

Далее открыть созданное приложение, добавить Client Identifier в Relying party identifiers:

Перейти в Issuance Transform Rules, нажать Add Rule. В Choose rule type выбрать Send LDAP Attributes as Claims:

Назвать правило, Attribute Store - Active Directory, добавить сопоставление почты:

Далее в настройки портала - Админка - Настройки - Настройки модулей - Active Directory

Издатель (URL адрес) - адрес сервера adfs
ID клиента - Client Identifier
Алгоритм шифрования - как было указано в настройках сертификата
Публичный ключ - Вставить ключ, который открывали в блокноте

Теперь, если почта авторизации сотрудника совпадает с почтой, указанной в AD - пользователь сможет войти на портал после авторизации в ADFS. Приглашения для активации учетной записи не требуется, пользователь становится активным после первого входа на портал: