Настройка единого входа (SSO)

В этом разделе описано, как настроить технологию единого входа (Single Sign-On) для централизованного управления доступом сотрудников к панели управления Servicepipe через вашего корпоративного провайдера идентификации (IdP).

Доступ к этому разделу осуществляется через меню пользователя → Настройки аккаунта → вкладка Single sign-on.

Настройка SSO доступна по запросу. Для подключения обратитесь к вашему менеджеру или в техническую поддержку.

Принцип работы

Технология единого входа (Single sign-on, SSO) — метод аутентификации, который позволяет вашим сотрудникам авторизоваться в панели управления Servicepipe с помощью корпоративного провайдера аутентификации. Настройка SSO подключается на уровне аккаунта, т.е. действует на всех пользователей аккаунта.

Технология работает по протоколу SAML 2.0 XML, который разрешает обмен аутентификационной информацией между провайдером идентификации (Identity Provider, IdP) и поставщиком услуг Servicepipe (Service Provider, SP). Для обмена информации используется способ передачи (binding) — Redirect. Сопоставление пользователей между IdP и Servicepipe происходит через email.

Создание и настройка SSO-подключения

Для настройки аутентификации через SSO необходимо создать SSO-подключение в панели управления Servicepipe и затем настроить ваш провайдер идентификации.

  1. Создайте SSO-подключение в Servicepipe.

    Перейдите на вкладку Single sign-on и нажмите кнопку + Создать SSO-подключение. В открывшемся окне необходимо заполнить следующие поля:

    ID провайдера идентификации

    Укажите уникальный идентификатор вашего провайдера. Этот идентификатор можно получить у вашего провайдера идентификации. Пример: https://idp.example.com/entity

    URL страницы авторизации

    Укажите URL страницы, на которую Servicepipe будет перенаправлять запросы на аутентификацию. Пример: https://idp.example.com/samlsso

    Сертификат провайдера услуг

    Вставьте сертификат в PEM-формате (также полученный от вашего IdP), который будет использоваться для подписи XML-документа при ответе на запросы от вашего провайдера идентификации. Данные сертификата должны быть разделены на строки по 64 символа.

    -----BEGIN CERTIFICATE-----
BgkqhkiG9w0BAQsFADBvMQswCQYDVQQGEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIB
GEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIBBgkqhkiG9w0BAQsFADBvMQswCQYDVQQ
A1UECAwCgIEEzANG
-----END CERTIFICATE-----
    Приватный ключ

    Вставьте приватный ключ в PEM-формате. Ключ будет использоваться для дешифрования полей в XML-документе. Данные ключа должны быть разделены на строки по 64 символа.

    -----BEGIN RSA PRIVATE KEY-----
BgkqhkiG9w0BAQsFADBvMQswCQYDVQQGEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIB
GEwJVUzELMAkMIIDAUz3XdzCCAl+gAwIBBgkqhkiG9w0BAQsFADBvMQswCQYDVQQ
A1UECAwCgIEEzANG
-----END RSA PRIVATE KEY-----
    Домены (Domains)

    Через запятую введите доменные имена, которые будут связаны с этим SSO-подключением. При авторизации по указанному домену система определит вашего провайдера идентификации и переадресует к нему запросы на аутентификацию. Домены должны быть уникальными в рамках системы. Пример: example.ru, ex.org.

    Состояние SSO (SSO state)

    Выберите режим работы SSO-подключения:

    • Выключено: SSO-подключение сохранено в системе, но не может использоваться для аутентификации.

    • Опциональный SSO: Аутентификация через SSO подключена, но пользователь может авторизоваться как с помощью логина/пароля, так и через SSO. Мы рекомендуем выбирать эту опцию для отладки.

    • Принудительный SSO: Аутентификация через SSO подключена, пользователь может авторизоваться только через SSO. Используйте эту опцию только после полной настройки и отладки подключения.

    После заполнения полей нажмите Создать.

  2. Завершите настройку на стороне IdP.

    После создания подключения оно появится в списке на вкладке Single sign-on. . Найдите созданное SSO-подключение в списке. . Нажмите на иконку …​ и выберите Скачать SAML метадату. . Загрузите полученный файл метаданных в ваш провайдер идентификации.

  3. Проверьте авторизацию.

    Попробуйте авторизоваться в панели управления через кнопку Войти через SSO. В поле Рабочий домен введите один из доменов, который вы указывали при настройке.

Управление SSO-подключением

После создания подключения вы можете управлять им на вкладке Single sign-on. Выберите подключение, нажмите на иконку …​ и выберите необходимое действие:

  • Редактировать: Здесь вы можете отредактировать параметры подключения.

  • Удалить: Здесь вы можете удалить подключение, если оно более не актуально.

Из соображений безопасности поле Приватный ключ не отображается в интерфейсе после сохранения. При редактировании оно всегда будет выглядеть пустым.

Особенности и ограничения

  • Для одного аккаунта может быть активно только одно SSO-подключение.

  • Управлять настройками SSO-подключения могут только пользователи с ролью Администратор.

  • Если для состояния подключения вы выбрали «Принудительный SSO», пользователям не будут доступны следующие функции авторизации: вход через логин и пароль, смена пароля, настройка двухфакторной аутентификации.