Мы добавили возможность настроить систему единого входа для Энтерпрайз тарифов Битрикс24. Теперь вы можете быстро добавить всех коллег в Битрикс24 и управлять их доступом из Microsoft Azure Active Directory. Сотрудники будут заходить в Битрикс24 без ввода пароля.
Для подключения единого входа надо выполнить несколько шагов. Сначала администратору надо запустить настройку в Битрикс24, зарегистрировать приложение в Azure AD, настроить SSO и SCIM. После этого пользователи смогут использовать свои учетные записи Azure AD для входа в Битрикс24.
Что такое Microsoft Azure Active Directory, SSO и SCIM:
- Microsoft Azure Active Directory (Azure AD) – это система управления доступом к приложениям и сервисам в облаке. С помощью Azure AD можно настроить единую точку входа single sign-on для пользователей, чтобы они могли получить доступ к нескольким приложениям и сервисам с помощью одной учетной записи. Подробнее читайте по ссылке.
- Single sign-on (SSO) – это технология, которая позволяет пользователям войти в несколько различных приложений или сайтов. Сотруднику не нужно запоминать множество паролей для каждого приложения, и он может быстро получить доступ к сервисам, используя только одно имя и пароль. Подробнее читайте по ссылке.
- System for Cross-domain Identity Management (SCIM) – это стандартный протокол, который позволяет управлять учетными записями пользователей и их доступом к ресурсам в приложениях и системах. С помощью SCIM администраторы могут быстро и легко создавать, изменять и удалять учетные записи пользователей, а также управлять доступом к ресурсам в различных приложениях и системах. Подробнее читайте по ссылке.
В статье рассмотрим все шаги для настройки единого входа:
- Где настроить единый вход для сотрудников
- Создайте SAML-приложение на стороне Microsoft Azure и настройте ACS URL / SP Entity ID
- Введите сервисный URL и запустите проверку
- Проверка домена электронной почты сотрудников
- Настройка мобильных платформ: iOS и Android
- Пройдите контрольное тестирование и включите единый вход всем сотрудникам
Где настроить единый вход для сотрудников
Откройте свой профиль в Битрикс24 и перейдите во вкладку Безопасность - SSO и SCIM и нажмите Начать настройку.
Деактивация пользователя в Azure Active Directory означает его увольнение в Битрикс24, активация соответствует восстановлению после увольнения. Если вы увольняете администратора, он теряет свои права. После восстановления их надо будет повторно настроить.
Создайте SAML-приложение на стороне Microsoft Azure и настройте ACS URL / SP Entity ID
Для этого переходите в ваш аккаунт Microsoft Azure или создайте новый по ссылке. Откройте раздел Azure Active Directory.
Перейдите в Корпоративные приложения и создайте Новое приложение.
В мастере Создайте собственное приложение укажите название, выберите опцию Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции) и нажмите Создать.
Когда приложение будет создано, перейдите в пункт Назначение пользователей и групп.
Нажмите кнопку Добавить пользователя или группу и укажите себя в качестве пользователя.
Отройте свой профиль и проверьте, что в разделе Контактные данные указана почта. Иначе у вас могут возникнуть проблемы с авторизацией на портале.
Подробнее о том, как добавлять или удалять пользователей читайте по ссылке.
Затем перейдите в пункт Настройка единого входа.
В открывшемся окне выберите метод единого входа SAML.
Справа от блока Базовая конфигурация SAML нажмите Изменить.
Затем откройте Битрикс24 и скопируйте поля ACS URL и SP Entity ID.
Вернитесь в Microsoft Azure и добавьте значение ACS URL в поле URL-адрес ответа (URL-адрес службы обработчика утверждений) и SP Entity ID в Идентификатор (сущности), затем нажмите Сохранить.
После этого вернитесь в Битрикс24 и нажмите Продолжить.
Введите сервисный URL и запустите проверку
На стороне Microsoft Azure скопируйте поле URL-адрес метаданных федерации приложений.
Чтобы Битрикс24 синхронизировал все данные для корректной работы SSO, введите App Federation Metadata URL и запустите проверку соединения.
Появится сообщение Соединение установлено. Если вы настраиваете SSO и SCIM в режиме инкогнито или в разных браузерах, то вам надо будет заново войти в Microsoft Azure.
Возможные ошибки
Проверка домена электронной почты сотрудников
На этом шаге надо настроить синхронизацию пользователей из Microsoft Azure. В окне настройки скопируйте Сервисную ссылку для Microsoft Azure и Уникальный токен.
В вашем корпоративном приложении откройте вкладку Подготовка учетных записей пользователей.
Выберите Режим подготовки к работе - Автоматически, и впишите Учетные данные администратора.
После этого нажмите кнопку Проверить подключение и Сохраните настройки.
Далее, в блоке Подготовка учетных записей пользователей, откройте пункт Изменение сопоставлений атрибутов.
В разделе Сопоставления отключите синхронизацию групп и настройте синхронизацию пользователей.
В настройках пользователей удалите лишние поля и оставьте следующие:
Также добавьте новое поле objectid. Для этого нажмите кнопку Добавить новое сопоставление.
Сохраните изменения.
Вернитесь в Битрикс24, впишите Домены для проверки и начните проверку.
После проверки вы можете увидеть сообщение, что почта некоторых сотрудников находится не в корпоративном доменe. В этом случае вам надо заранее рассказать сотрудникам о новой системе единого входа и сообщить им, что надо поменять почту в профиле или поправить её вручную. Для этого нажмите кнопку Открыть список.
Вы увидите список всех сотрудников, которым надо исправить почту. Нажмите кнопку Изменить, чтобы открыть профиль и отредактировать почту или Разрешить, если вы уверены, что этот сотрудник больше с вами не работает и ему не нужен доступ на портал.
После этого вы увидите сообщение, что почта всех сотрудников находится в домене, нажмите Далее.
Выберите подразделение, куда будут добавляться новые сотрудники, когда вы будете создавать новые профили в Microsoft Azure.
Настройка мобильных платформ: iOS и Android
На этом шаге надо настроить возможность входа в Битрикс24 через мобильное приложение. Для начала скопируйте поле Bundle ID.
Затем вернитесь в Microsoft Azure, перейдите раздел Регистрация приложений - Все приложения и откройте ваше.
Перейдите в Проверку подлинности, нажмите Добавить платформу и выберите IOS или macOS.
Заполните поле Идентификатор пакета и нажмите Настроить.
Затем скопируйте URI перенаправления.
Вернитесь в Битрикс24, заполните поле Redirect URI и нажмите Продолжить.
Далее скопируйте поля Package name и Signature hash. Откройте Microsoft Azure и повторите шаги для настройки приложения Android.
Заполните поля Имя пакета и Хэш подписи данными из Битрикс24 и нажмите Настроить.
Скопируйте поле Конфигурация MSAL.
Вернитесь в Битрикс24 и вставьте данные из AzureAD в поле MSAL Configuration.
Пройдите контрольное тестирование и включите единый вход всем сотрудникам
Чтобы убедиться, что единый вход работает корректно, выполните самостоятельную проверку в браузере по инструкции.
Сначала откройте ссылку в режиме инкогнито, для этого кликните по ней правой кнопкой мыши и выберите соответствующую опцию.
В открывшемся окне обратите внимание, что Битрикс24 переведён на SSO и авторизуйтесь с новыми данными.
Вы увидите сообщение, что тестовая авторизация прошла успешно.
После этого вы можете включить единый вход для всех сотрудников или отменить настройку.
Когда вы включите SSO на вашем портале, самостоятельно отключить его уже не получится. Если вам надо отключить единый вход, мы рекомендуем обратиться за помощью к технической поддержке.
Настройте синхронизацию пользователей в Microsoft Azure
Чтобы включить синхронизацию и автоматически добавлять новых пользователей на ваш портал, вернитесь в блок Подготовка учетных записей пользователей. и нажмите кнопку Запуск подготовки.