Настройка единого входа (SSO)

Что такое SSO-подключение и как его настроить для вашего аккаунта.

Что такое SSO

SSO (Single Sign-On, технология единого входа) — это способ входа в панель Servicepipe через корпоративную учётную запись вашей компании.

Сотрудники смогут заходить в Servicepipe с теми же логином и паролем, что и в других рабочих сервисах. Доступами управляете вы: отключили человека в своей системе — он больше не сможет пройти аутентификацию в нашей панели.

Что такое SSO-подключение

SSO-подключение — это набор настроек для интеграции панели управления Servicepipe с вашей корпоративной системой аутентификации.

Вы создаёте такое подключение через наш интерфейс, экспортируете готовый файл с настройками, загружаете его в свою систему — и SSO работает.

Особенности и ограничения

Управлять настройками SSO могут только пользователи с ролью Администратор.
Доступно два режима работы SSO-подключения: опциональный и принудительный. При «Опциональном SSO» пользователь сам решает, как зайти в панель (через SSO или по паролю). «Принудительный SSO» заставляет всех логиниться только через SSO — пользователи больше не могут входить по паролю.
В аккаунте может быть активно только одно SSO-подключение. Если вы добавили несколько подключений, только одно из них может работать — остальные будут в режиме «Выключено».
Пользователи не создаются автоматически при входе через SSO. Нужно создать их вручную: отправьте сотрудникам приглашения в аккаунт на их корпоративные имейлы — после этого они смогут входить через SSO.
Настройки SSO применяются ко всем пользователям аккаунта. Невозможно включить SSO для кого-то конкретного — оно включается/выключается сразу для всех.
Передача прав или ролей из сторонних систем не поддерживается. Например, если в вашей сети сотрудник — администратор, это не значит, что в нашей панели он тоже станет администратором. Пользователь входит с ролью, которую вы ему назначили при создании. Роль можно изменить в настройках.
Для сопоставления пользователей используется только имейл, другие данные при авторизации не учитываются. Проще говоря, в нашей системе и в вашей у пользователя должен быть указан один и тот же имейл — иначе он не сможет войти через SSO.

Как работает

В авторизации через SSO участвуют три стороны:

Пользователь — сотрудник компании, который заходит в панель управления.
Сервис-провайдер (Service Provider, SP) — сервис, который предоставляет услуги и запрашивает подтверждение личности. В данном случае это мы, Servicepipe.
Провайдер идентификации (Identity Provider, IdP) — ваша корпоративная система (например, Keycloak или ADFS), которая хранит данные сотрудников и подтверждает их личность.

Процесс выглядит так:

Пользователь открывает панель Servicepipe.
Мы (SP) видим, что настроен SSO, и перенаправляем его в вашу систему аутентификации (IdP).
Пользователь вводит логин и пароль на вашей стороне (IdP).
Если вход успешный, IdP редиректит пользователя обратно к нам и передаёт информацию, что он прошёл проверку.
Мы принимаем эту информацию и сразу открываем доступ к панели.

Это называется HTTP Redirect binding: данные передаются через браузер пользователя, а он по очереди «ходит» между двумя системами, пока вход не будет завершён.

Обмен информацией строится на базе протокола SAML 2.0, который позволяет системам безопасно подтверждать личность пользователя. Учётные данные не покидают корпоративную систему, а SP получает только результат аутентификации.

Ниже показано, как этот процесс выглядит на практике.

Пользователь на странице авторизации выбирает Войти через SSO и указывает корпоративный домен.
SP проверяет, связан ли этот домен с настроенным SSO-подключением.
SP формирует SAML Request и подписывает его своим приватным ключом.
IdP принимает запрос и проверяет его подпись с помощью публичного сертификата SP.
Если подпись верна, IdP отображает пользователю форму для ввода учётных данных.
Пользователь проходит аутентификацию на стороне IdP в соответствии с корпоративными политиками безопасности.
После успешной аутентификации IdP формирует SAML Response и подписывает его своим приватным ключом.
SP получает SAML Response и проверяет подпись с помощью публичного сертификата IdP.
SP проверяет, что ответ получен от доверенного IdP и ещё актуален. Если всё в порядке, извлекает корпоративный имейл и ищет по нему пользователя на своей стороне.
Если пользователь с таким имейлом существует в панели, создаётся сессия авторизации. Она действует 24 часа, после чего потребуется повторный вход.

Если сертификат, ключ или название провайдера не совпадают с настройками SSO, попытка входа будет отклонена.

Как настроить

Перед началом убедитесь, что:

Ваша корпоративная система (IdP) настроена и готова к работе.
В вашей системе созданы учётные записи сотрудников.
У вас есть аккаунт в Servicepipe с ролью Администратор.
Ваши сотрудники добавлены в панель управления Servicepipe под своими рабочими имейлами.

Шаг 1. Создайте SSO-подключение в Servicepipe

1. В панели управления откройте меню пользователя в верхнем правом углу и выберите Настройки аккаунта.

2. Перейдите на вкладку Аутентификация и нажмите кнопку + Создать SSO-подключение.

3. В открывшемся окне заполните все поля.

В данном случае провайдер идентификации (IdP) — это ваша корпоративная система, а провайдер услуг — мы (Servicepipe).

Название поля Описание Где взять данные Пример

Название поля	Описание	Где взять данные	Пример
ID провайдера идентификации	Уникальный идентификатор IdP	В настройках на стороне IdP	https://idp.example.com/entity
URL страницы авторизации	Адрес страницы вашего провайдера идентификации, куда Servicepipe перенаправит пользователя для входа	В настройках на стороне IdP	https://idp.example.com/samlsso
Публичный сертификат провайдера идентификации	Публичный сертификат вашего провайдера в формате PEM. Нужен для проверки подписей SAML-ответов. `Что такое формат PEM?` PEM (Privacy-Enhanced Mail) — это текстовый формат для хранения криптографических ключей и сертификатов. Данные в этом формате представлены в кодировке Base64 и обрамлены строками вида `-----BEGIN…-----` и `-----END…-----` .	В настройках на стороне IdP	`-----BEGIN CERTIFICATE-----` `BgkqhkiG9w0BAQsFADBvMQswCQY` `DVQQGEwJVUzELMAkMIIDAUz3Xdz` `CCAl+gAwIBGEwJVUzELMAkMIIDA` `Uz3XdzCCAl+gAwIBBgkqhkiG9w0` `BAQsFADBvMQswCQYDVQQA1UECAw` `CgIEEzANG` `-----END CERTIFICATE-----`
Публичный сертификат провайдера услуг	Публичный сертификат Servicepipe в формате PEM. Используется провайдером идентификации для проверки подписи SAML-запросов.	Сгенерируйте самостоятельно. Это не готовый файл, его нужно создать с нуля — например, в настройках IdP или через сторонний генератор сертификатов. Созданный вами сертификат и будет считаться сертификатом Servicepipe. Данные сертификата должны быть разделены на строки по 64 символа.	`-----BEGIN CERTIFICATE-----` `BgkqhkiG9w0BAQsFADBvMQswCQY` `DVQQGEwJVUzELMAkMIIDAUz3Xdz` `CCAl+gAwIBGEwJVUzELMAkMIIDA` `Uz3XdzCCAl+gAwIBBgkqhkiG9w0` `BAQsFADBvMQswCQYDVQQA1UECAw` `CgIEEzANG` `-----END CERTIFICATE-----`
Приватный ключ провайдера услуг	Приватный ключ Servicepipe в формате PEM. Используется для подписи SAML-запросов.	Используйте ключ, который был создан вместе с сертификатом выше. Данные ключа должны быть разделены на строки по 64 символа. Ключ хранится на стороне Servicepipe и не передаётся провайдеру идентификации.	`-----BEGIN RSA PRIVATE KEY-----` `BgkqhkiG9w0BAQsFADBvMQswCQY` `DVQQGEwJVUzELMAkMIIDAUz3Xdz` `CCAl+gAwIBGEwJVUzELMAkMIIDA` `Uz3XdzCCAl+gAwIBBgkqhkiG9w0` `BAQsFADBvMQswCQYDVQQA1UECAw` `CgIEEzANG` `-----END RSA PRIVATE KEY-----`
Корпоративные доменные имена	Ваши корпоративные домены, связанные с этим SSO-подключением. По ним Servicepipe определяет, какой провайдер идентификации использовать при входе пользователя.	Укажите домены вручную через запятую. Домены должны быть уникальны в рамках системы.	example.ru, ex.org
Состояние SSO	Режим работы SSO-подключения. Определяет, как пользователи могут входить в сервис.	Выберите вариант из списка: `Выключено` — SSO-подключение сохранено в системе, но не используется для входа. `Опциональный SSO` — пользователь может войти как через SSO, так и с помощью имейла и пароля. Рекомендуем использовать на этапе настройки и проверки подключения. `Принудительный SSO` — пользователь может войти только через SSO. Недоступны авторизация по имейлу и паролю,смена пароля и изменение настроек 2FA. Используйте после полной настройки и успешного тестирования SSO.	`Опциональный SSO`

ID провайдера идентификации

Уникальный идентификатор IdP

В настройках на стороне IdP

https://idp.example.com/entity

URL страницы авторизации

Адрес страницы вашего провайдера идентификации, куда Servicepipe перенаправит пользователя для входа

В настройках на стороне IdP

https://idp.example.com/samlsso

Публичный сертификат
провайдера
идентификации

Публичный сертификат вашего провайдера в формате PEM.

Нужен для проверки подписей SAML-ответов.

Что такое формат PEM?

PEM (Privacy-Enhanced Mail) — это текстовый формат для хранения криптографических ключей и сертификатов. Данные в этом формате представлены в кодировке Base64 и обрамлены строками вида -----BEGIN…----- и -----END…----- .

В настройках на стороне IdP

-----BEGIN CERTIFICATE-----
BgkqhkiG9w0BAQsFADBvMQswCQY
DVQQGEwJVUzELMAkMIIDAUz3Xdz
CCAl+gAwIBGEwJVUzELMAkMIIDA
Uz3XdzCCAl+gAwIBBgkqhkiG9w0
BAQsFADBvMQswCQYDVQQA1UECAw
CgIEEzANG
-----END CERTIFICATE-----

Публичный сертификат провайдера услуг

Публичный сертификат Servicepipe в формате PEM.

Используется провайдером идентификации для проверки подписи SAML-запросов.

Сгенерируйте самостоятельно.

Это не готовый файл, его нужно создать с нуля — например, в настройках IdP или через сторонний генератор сертификатов.

Созданный вами сертификат и будет считаться сертификатом Servicepipe.

Данные сертификата должны быть разделены на строки по 64 символа.

Приватный ключ провайдера услуг

Приватный ключ Servicepipe в формате PEM.

Используется для подписи SAML-запросов.

Используйте ключ, который был создан вместе с сертификатом выше. Данные ключа должны быть разделены на строки по 64 символа.

Ключ хранится на стороне Servicepipe и не передаётся провайдеру идентификации.

-----BEGIN RSA PRIVATE KEY-----
BgkqhkiG9w0BAQsFADBvMQswCQY
DVQQGEwJVUzELMAkMIIDAUz3Xdz
CCAl+gAwIBGEwJVUzELMAkMIIDA
Uz3XdzCCAl+gAwIBBgkqhkiG9w0
BAQsFADBvMQswCQYDVQQA1UECAw
CgIEEzANG
-----END RSA PRIVATE KEY-----

Корпоративные доменные имена

Ваши корпоративные домены, связанные с этим SSO-подключением.

По ним Servicepipe определяет, какой провайдер идентификации использовать при входе пользователя.

Укажите домены вручную через запятую.

Домены должны быть уникальны в рамках системы.

example.ru, ex.org

Состояние SSO

Режим работы SSO-подключения. Определяет, как пользователи могут входить в сервис.

Выберите вариант из списка:

Выключено — SSO-подключение сохранено в системе, но не используется для входа.

Опциональный SSO — пользователь может войти как через SSO, так и с помощью имейла и пароля. Рекомендуем использовать на этапе настройки и проверки подключения.

Принудительный SSO — пользователь может войти только через SSO. Недоступны авторизация по имейлу и паролю,смена пароля и изменение настроек 2FA. Используйте после полной настройки и успешного тестирования SSO.

Опциональный SSO

4. Когда все поля будут заполнены, нажмите кнопку Создать.

Подключение появится в списке на вкладке Аутентификация.

Шаг 2. Завершите настройку на стороне IdP

Теперь нужно передать настройки SSO-подключения вашему провайдеру идентификации. Для этого используются SAML-метаданные — XML-файл с технической информацией, который поможет:

Распознать Servicepipe как доверенный сервис
Понять, куда возвращать пользователя после успешной аутентификации
Использовать корректные параметры и сертификаты при обмене данными

Что нужно сделать:

Найдите на вкладке Аутентификация созданное SSO-подключение.
Нажмите на три точки ( … ) и выберите Загрузить метаданные SAML.
Загрузите полученный файл в ваш провайдер идентификации.

Шаг 3. Проверьте авторизацию

После заполнения всех параметров в Servicepipe и на стороне провайдера идентификации убедитесь, что авторизация работает. Для этого:

Перейдите на страницу авторизации и выберите Войти через SSO.
В поле Корпоративный домен укажите домен, который вы задали в настройках SSO-подключения.
Нажмите Войти через SSO.
На странице провайдера идентификации введите корпоративные учётные данные.

Если всё настроено корректно, после аутентификации вы попадёте в панель управления.

Если вход не работает, убедитесь, что:

Домен указан без ошибок и совпадает с доменом в настройках SSO-подключения
SSO-подключение создано и включено
SAML-метаданные загружены в провайдер идентификации
Введённые учётные данные действительны на стороне IdP

Если после проверки вход по SSO по-прежнему не работает, напишите на support@servicepipe.ru — поможем разобраться.

Как управлять

На вкладке Аутентификация можно управлять подключением прямо из списка:

Редактирование: нажмите на три точки ( … ) в конце строки и выберите Редактировать. Здесь вы сможете изменить любые параметры подключения.
Удаление: нажмите на три точки ( … ), выберите Удалить и подтвердите удаление. Восстановить удалённое подключение невозможно.