Прочитайте готовые ответы
Новые статьи
Поддержка Битрикс24
Регистрация и вход
Тарифы и оплата
С чего начать
Задачи и проекты
Мессенджер
Коллабы
Главная страница: наш вайб
Группы
Календарь
CRM + Интернет-магазин
Диск
База знаний
Сайты
Интернет-магазин
Складской учет
Почта
CRM
Онлайн-запись
CoPilot — AI в Битрикс24
Битрикс24 КЭДО
Подпись
Маркетинг
Сквозная аналитика
Центр продаж
CRM-аналитика
BI Конструктор
Автоматизация
CRM.Оплата и Доставка
Интеграция 1С и Битрикс24
Компания
Бизнес-процессы
Приложения
Контакт-центр
Настройки
Моя страница
Телефония
Мой тариф
Энтерпрайз
Enterprise HRM
Битрикс24 Мессенджер
Общие вопросы
Битрикс24 в коробке
1С-Битрикс24: Интернет-магазин + CRM
Изменения в статьях (архив)

Поддержка24

Единый вход для сотрудников в Битрикс24

Мы добавили возможность настроить систему единого входа для Энтерпрайз тарифов Битрикс24. Теперь вы можете быстро добавить всех коллег в Битрикс24 и управлять их доступом из Microsoft Azure Active Directory. Сотрудники будут заходить в Битрикс24 без ввода пароля.

Для подключения единого входа надо выполнить несколько шагов. Сначала администратору надо запустить настройку в Битрикс24, зарегистрировать приложение в Azure AD, настроить SSO и SCIM. После этого пользователи смогут использовать свои учетные записи Azure AD для входа в Битрикс24.

Что такое Microsoft Azure Active Directory, SSO и SCIM:

  • Microsoft Azure Active Directory (Azure AD) – это система управления доступом к приложениям и сервисам в облаке. С помощью Azure AD можно настроить единую точку входа single sign-on для пользователей, чтобы они могли получить доступ к нескольким приложениям и сервисам с помощью одной учетной записи. Подробнее читайте по ссылке.

  • Single sign-on (SSO) – это технология, которая позволяет пользователям войти в несколько различных приложений или сайтов. Сотруднику не нужно запоминать множество паролей для каждого приложения, и он может быстро получить доступ к сервисам, используя только одно имя и пароль. Подробнее читайте по ссылке.

  • System for Cross-domain Identity Management (SCIM) – это стандартный протокол, который позволяет управлять учетными записями пользователей и их доступом к ресурсам в приложениях и системах. С помощью SCIM администраторы могут быстро и легко создавать, изменять и удалять учетные записи пользователей, а также управлять доступом к ресурсам в различных приложениях и системах. Подробнее читайте по ссылке.

В статье рассмотрим все шаги для настройки единого входа:


При настройке следуйте инструкциям, чтобы после включения SSO сотрудники не потеряли доступ к Битрикс24. Рекомендуем предварительно проверить работу системы единого входа. Для этого создайте бесплатный Битрикс24 и настроите SSO там.

Где настроить единый вход для сотрудников

Откройте свой профиль в Битрикс24 и перейдите во вкладку Безопасность - SSO и SCIM и нажмите Начать настройку.

Настроить единый вход может только Администратор вашего Битрикс24. Убедитесь, что все администраторы являются интеграторами или используют корпоративную почту в Azure Active Directory.

Деактивация пользователя в Azure Active Directory означает его увольнение в Битрикс24, активация соответствует восстановлению после увольнения. Если вы увольняете администратора, он теряет свои права. После восстановления их надо будет повторно настроить.


Создайте SAML-приложение на стороне Microsoft Azure и настройте ACS URL / SP Entity ID

Для этого переходите в ваш аккаунт Microsoft Azure или создайте новый по ссылке. Откройте раздел Azure Active Directory.

Перейдите в Корпоративные приложения и создайте Новое приложение.

В мастере Создайте собственное приложение укажите название, выберите опцию Интеграция с любыми другими приложениями, которых нет в коллекции (вне коллекции) и нажмите Создать.

Когда приложение будет создано, перейдите в пункт Назначение пользователей и групп.

Нажмите кнопку Добавить пользователя или группу и укажите себя в качестве пользователя.

Отройте свой профиль и проверьте, что в разделе Контактные данные указана почта. Иначе у вас могут возникнуть проблемы с авторизацией на портале.

Подробнее о том, как добавлять или удалять пользователей читайте по ссылке.

Затем перейдите в пункт Настройка единого входа.

В открывшемся окне выберите метод единого входа SAML.

Справа от блока Базовая конфигурация SAML нажмите Изменить.

Затем откройте Битрикс24 и скопируйте поля ACS URL и SP Entity ID.

Вернитесь в Microsoft Azure и добавьте значение ACS URL в поле URL-адрес ответа (URL-адрес службы обработчика утверждений) и SP Entity ID в Идентификатор (сущности), затем нажмите Сохранить.

После этого вернитесь в Битрикс24 и нажмите Продолжить.


Введите сервисный URL и запустите проверку

На стороне Microsoft Azure скопируйте поле URL-адрес метаданных федерации приложений.

Чтобы Битрикс24 синхронизировал все данные для корректной работы SSO, введите App Federation Metadata URL и запустите проверку соединения.

Появится сообщение Соединение установлено. Если вы настраиваете SSO и SCIM в режиме инкогнито или в разных браузерах, то вам надо будет заново войти в Microsoft Azure.

Возможные ошибки

К сожалению, не удается выполнить вход в систему

Если во время проверки у вас возникла такая ошибка, проверьте, что вы добавили себя в качестве пользователя приложения в разделе Назначение пользователей и групп.


Проверка домена электронной почты сотрудников

На этом шаге надо настроить синхронизацию пользователей из Microsoft Azure. В окне настройки скопируйте Сервисную ссылку для Microsoft Azure и Уникальный токен.

В вашем корпоративном приложении откройте вкладку Подготовка учетных записей пользователей.

Выберите Режим подготовки к работе - Автоматически, и впишите Учетные данные администратора.

Для полей URL-адрес клиента и Секретный токен используйте данные из Битрикс24.

После этого нажмите кнопку Проверить подключение и Сохраните настройки.

Далее, в блоке Подготовка учетных записей пользователей, откройте пункт Изменение сопоставлений атрибутов.

В разделе Сопоставления отключите синхронизацию групп и настройте синхронизацию пользователей.

В настройках пользователей удалите лишние поля и оставьте следующие:

Также добавьте новое поле objectid. Для этого нажмите кнопку Добавить новое сопоставление.

Сохраните изменения.

Вернитесь в Битрикс24, впишите Домены для проверки и начните проверку.

Домены должны быть корпоративными, и к ним должны быть привязаны сотрудники. Посмотреть основной домен в Microsoft Azure можно на главной странице сервиса. Если почта некоторых сотрудников находится не в корпоративном доменe, то такие пользователи не смогут войти на портал после включения единого входа.

После проверки вы можете увидеть сообщение, что почта некоторых сотрудников находится не в корпоративном доменe. В этом случае вам надо заранее рассказать сотрудникам о новой системе единого входа и сообщить им, что надо поменять почту в профиле или поправить её вручную. Для этого нажмите кнопку Открыть список.

Вы увидите список всех сотрудников, которым надо исправить почту. Нажмите кнопку Изменить, чтобы открыть профиль и отредактировать почту или Разрешить, если вы уверены, что этот сотрудник больше с вами не работает и ему не нужен доступ на портал.

После этого вы увидите сообщение, что почта всех сотрудников находится в домене, нажмите Далее.

Выберите подразделение, куда будут добавляться новые сотрудники, когда вы будете создавать новые профили в Microsoft Azure.


Настройка мобильных платформ: iOS и Android

На этом шаге надо настроить возможность входа в Битрикс24 через мобильное приложение. Для начала скопируйте поле Bundle ID.

Затем вернитесь в Microsoft Azure, перейдите раздел Регистрация приложений - Все приложения и откройте ваше.

Перейдите в Проверку подлинности, нажмите Добавить платформу и выберите IOS или macOS.

Заполните поле Идентификатор пакета и нажмите Настроить.

Затем скопируйте URI перенаправления.

Вернитесь в Битрикс24, заполните поле Redirect URI и нажмите Продолжить.

Далее скопируйте поля Package name и Signature hash. Откройте Microsoft Azure и повторите шаги для настройки приложения Android.

Заполните поля Имя пакета и Хэш подписи данными из Битрикс24 и нажмите Настроить.

Скопируйте поле Конфигурация MSAL.

Вернитесь в Битрикс24 и вставьте данные из AzureAD в поле MSAL Configuration.


Пройдите контрольное тестирование и включите единый вход всем сотрудникам

Чтобы убедиться, что единый вход работает корректно, выполните самостоятельную проверку в браузере по инструкции.

Сначала откройте ссылку в режиме инкогнито, для этого кликните по ней правой кнопкой мыши и выберите соответствующую опцию.

Если вы откроете ссылку в соседнем окне, то увидите ошибку и не сможете пройти проверку.

В открывшемся окне обратите внимание, что Битрикс24 переведён на SSO и авторизуйтесь с новыми данными.

Вы увидите сообщение, что тестовая авторизация прошла успешно.

После этого вы можете включить единый вход для всех сотрудников или отменить настройку.

Перед тем, как включить единый вход для всех сотрудников, обязательно расскажите им о новой системе единого входа. Отправьте подробную инструкцию на почту, чтобы после включения SSO каждый сотрудник знал, как авторизоваться.

Когда вы включите SSO на вашем портале, самостоятельно отключить его уже не получится. Если вам надо отключить единый вход, мы рекомендуем обратиться за помощью к технической поддержке.


Настройте синхронизацию пользователей в Microsoft Azure

Чтобы включить синхронизацию и автоматически добавлять новых пользователей на ваш портал, вернитесь в блок Подготовка учетных записей пользователей. и нажмите кнопку Запуск подготовки.

Microsoft Azure синхронизирует новых пользователей каждые 40 минут. Если вам надо срочно добавить нового сотрудника на портал, нажмите кнопку Подготовка по требованию и выберите нужного сотрудника.

Спасибо, помогло!
Спасибо :)
Не помогло
Очень жаль :(
Помощь интегратора
Это не то, что я ищу
Написано очень сложно и непонятно
Есть устаревшая информация
Слишком коротко, мне не хватает информации
Мне не нравится, как это работает