Аутентификация через SSO (single sign-on)

Последние изменения: 13.01.2025

Технология единого входа (Single sign-on, SSO) — метод аутентификации, который позволяет вашим сотрудникам авторизоваться в панели управления Servicepipe с помощью вашего корпоративного провайдера аутентификации. Технология работает по протоколу SAML 2.0 XML, который разрешает обмен аутентификационной информацией между вашим провайдером идентификации (Identity Provider, IdP) и поставщиком услуг Servicepipe (Service Provider, SP).

Настройка доступна по запросу. Для подключения обратитесь к вашему менеджеру или в техническую поддержку. 

Для настройки аутентификации через SSO необходимо создать SSO-подключение и настроить провайдер идентификации.

Создание SSО-подключения

  1. В панели управления Servicepipe перейдите в настройки профиля.

  2. Найдите вкладку Single sign-on.

  3. Нажмите кнопку Создать SSO-подключение.

  4. Заполните поля формы:

    1. В поле ID провайдера идентификации укажите уникальный идентификатор провайдера. Идентификатор можно получить у вашего провайдера идентификации. Пример: https://idp.example.com/entity

    2. В поле URL страницы авторизации укажите URL страницы, на которую мы будем перенаправлять запросы на аутентификацию из панели управления Servicepipe. Пример: https://idp.example.com/samlsso

    3. В поле Сертификат провайдера идентификации вставьте сертификат в PEM-формате, данные сертификата должны быть разделены на строки по 64 символа как в примере ниже. Сертификат будет использоваться для валидации входящих запросов от вашего провайдера идентификации. Сертификат можно получить у вашего провайдера идентификации.
      Пример: 
      -----BEGIN CERTIFICATE-----
      BgkqhkiG9w0BAQsFADBvMQswCQYDVQQGEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIB
      GEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIBBgkqhkiG9w0BAQsFADBvMQswCQYDVQQ
      A1UECAwCgIEEzANG
      -----END CERTIFICATE-----

    4. В поле Сертификат провайдера услуг вставьте сертификат в PEM-формате, данные сертификата должны быть разделены на строки по 64 символа как в примере ниже. Сертификат будет использоваться для подписи XML-документа при ответе на запросы от вашего провайдера идентификации. Сертификат можно получить у вашего провайдера идентификации. 
      Пример:
      -----BEGIN CERTIFICATE-----
      BgkqhkiG9w0BAQsFADBvMQswCQYDVQQGEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIB
      GEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIBBgkqhkiG9w0BAQsFADBvMQswCQYDVQQ
      A1UECAwCgIEEzANG
      -----END CERTIFICATE-----

    5. В поле Приватный ключ вставьте ключ в PEM-формате, данные ключа должны быть разделены на строки по 64 символа как в примере ниже. Ключ будет использоваться для дешифрования полей в XML-документе. После сохранения формы, ключ не будет отображаться в интерфейсе. 
      Пример:
      -----BEGIN RSA PRIVATE KEY-----
      BgkqhkiG9w0BAQsFADBvMQswCQYDVQQGEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIB
      GEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIBBgkqhkiG9w0BAQsFADBvMQswCQYDVQQ
      A1UECAwCgIEEzANG
      -----END RSA PRIVATE KEY-----

    6. В поле Домены через запятую введите доменные имена, которые мы свяжем с SSO-подключением. При авторизации в панели управления ваши пользователи должны будут указать один из указанных доменов. По указанному домену мы определим провайдера идентификации и переадресуем к нему запросы на аутентификацию. Домен должен быть уникальными в рамках системы. Пример: example.ru, ex.org.

  5. В поле Состояние SSO-подключения выберете один из вариантов:

    1. Выключено. SSO-подключение сохранено в системе, но не может использоваться для аутентификации пользователей.

    2. Опциональный SSO. Аутентификация через SSO подключена, но пользователь может авторизоваться как с помощью логина/пароля, так и через SSO. Мы рекомендуем выбирать эту опцию для отладки аутентификации.

    3. Принудительный SSO. Аутентификация через SSO подключена, пользователь может авторизоваться только через SSO. Используйте эту опцию только после настройки подключения со стороны провайдера и отладки подключения на тестовых пользователях. 

  6. Нажмите Создать.

  7. Найдите созданное SSO-подключение в списке подключений.

  8. Нажмите на иконку ···.

  9. Выберите Скачать SAML метадату.

  10. Загрузите полученный файл в ваш провайдер идентификации.

  11. Попробуйте авторизоваться в личном кабинете через кнопку Войти через SSO. В поле Рабочий домен введите один из доменов, который вы указывали в поле Домены при настройке SSO-подключения. 

Особенности

  • Для одного аккаунта может было активно только одно SSO-подключение.

  • Управлять настройками SSO-подключения могут только пользователи с ролью Администратор.

  • Если для состояния подключения вы выбрали «Принудительный SSO», пользователям не будут доступны следующие функции авторизации: вход через логин и пароль, смена пароля, настройка двухфакторной аутентификации.

Управление SSO-подключением

После создания подключения, вы можете управлять им на вкладке Single sign-on. Выберите подключение, нажмите на иконку ··· и выберите необходимое действие:

  1. Удалить. Здесь вы можете удалить подключение, если оно более не актуально.

  2. Редактировать. Здесь вы можете отредактировать параметры подключения.

Помогла ли вам статья?