Провайдеры SSO для Панели управления Оператора

В разделе SSO провайдеры для панели управления оператора вы можете настроить провайдеров аутентификации для входа в Панель управления Оператора (см. Настройки сотрудника).

В текущей версии платформы для Панели управления Оператора поддерживается только один провайдер SSO — Microsoft Entra ID. Для его использования необходимо заранее выполнить следующие действия:

  1. Создать аккаунт Microsoft Entra ID на портале https://entra.microsoft.com/.
  2. Добавить приложение в Microsoft Entra ID c поддержкой Open ID Connect.
  3. Получить учетные данные для настройки SSO.
  4. В рамках приложения на стороне Microsoft создать пользователей, которым требуется доступ к Панели управления Оператора, и распределить их по группам.

При входе в Панель управления Оператора с помощью Microsoft Entra ID:

  1. Автоматически обновляется имя менеджера, чтобы соответствовать имени учетной записи Microsoft.
  2. Если менеджер с таким email отсутствует, платформа автоматически создает учетную запись.
  3. Могут применяться ограничения доступа на основе групп в Microsoft.

В этой статье:

Создание провайдера аутентификации

Чтобы добавить провайдера аутентификации для Панели управления Оператора:

  1. Перейдите в раздел SSO провайдеры для панели управления оператора (см. Навигация по Панели управления Оператора).
  2. Нажмите Добавить. Отобразится страница Настройка провайдера аутентификации.
  3. В списке Провайдер выберите Microsoft Entra ID.
  4. Настройте название кнопки на странице входа для перехода к авторизации с помощью этого провайдера:
    1. В поле Текст кнопки на форме входа введите текст по умолчанию. Например: Вход с помощью учетной записи Майкрософт
    2. Опционально, добавьте текст кнопки на определенных языках:
      1. Нажмите Добавить локализацию. Отобразится группа полей.
      2. В списке выберите один из языков Панели управления Оператора (см. Управление языковыми настройками).
      3. Введите текст кнопки на выбранном языке.
  5. В группе Роли и группы менеджеров:
    1. Пропустите тогл Активировать синхронизацию ролей. В текущей версии эта функция не поддерживается.

      Если менеджер в платформе неактивен, вход через провайдера SSO с его email невозможен.

    2. Выберите, какая роль должна назначаться пользователю, который авторизуется с помощью этого провайдера SSO, но еще не зарегистрирован в Панели управления Оператора с таким email:

      Для незарегистрированного пользователя будет автоматически создана учетная запись менеджера в Панели управления Оператора: будут использованы имя и email из его учетной записи в Microsoft. Невалидные имена будут преобразованы автоматически.

      1. В списке Применить роль по умолчанию выберите роль, которая должна назначаться всем пользователям вне зависимости от их группы в Microsoft (см. Просмотр списка ролей).
      2. Опционально, чтобы ограничить доступ к Панели управления Оператора и назначать роли пользователям в зависимости от их группы в Microsoft:
        1. Нажмите Добавить группу пользователей. Отобразится группа полей.
        2. В поле Идентификатор группы в Microsoft введите идентификатор группы.
        3. В списке Роль пользователя группы выберите нужную роль (см. Просмотр списка ролей).
        4. Добавьте все остальные нужные группы и выберите для них роли.

          Если пользователь входит в несколько групп в Microsoft, платформа при регистрации назначит ему роль для последней добавленной группы.

          Указанными группами будет ограничена не только автоматическая регистрация новых пользователей, но и вход в Панель управления Оператора для зарегистрированных пользователей. Если добавлена хотя бы одна группа, пользователи из других групп и без группы не смогут ни зарегистрироваться, ни войти в Панель управления Оператора с помощью этого провайдера SSO.

  6. В группе Ключи SSO:
    1. В поле OAuth Client введите идентификатор клиента.
    2. В списке OAth Authentication Flow выберите поток авторизации Authorization code.
    3. В списке OAuth Client Type выберите Confidential.
    4. В поле OAuth Client Secret введите секретный ключ клиента.
    5. В поле OAuth URL введите URL, на который происходит перенаправление пользователя при попытке перейти в Панель управления Оператора.
    6. В поле OAuth Scope введите скоуп нужных разрешений.

      Значения настроек можно посмотреть в Microsoft Entra ID в разделе Identity > Applications > App registrations > <Приложение ActivePlatform> > Endpoints.

  7. Нажмите Сохранить. Созданный провайдер аутентификации становится доступен для использования в настройках входа в Панели управления Оператора (см. Настройки сотрудника).

Просмотр и обновление информации о провайдере аутентификации

Чтобы просмотреть или обновить информацию о провайдере аутентификации для Панели управления Оператора:

  1. Перейдите в раздел SSO провайдеры для панели управления оператора (см. Навигация по Панели управления Оператора). Отобразится список провайдеров аутентификации со следующими столбцами:
    • Провайдер — название провайдера аутентификации.
    • Синхронизация ролей — признак того, что для провайдера аутентификации включена синхронизация ролей с платформой.
    • Роль по умолчанию — название роли, которая назначается по умолчанию пользователям, авторизовавшимся с помощью этого провайдера, но еще не зарегистрированным в Панели управления Оператора.
  2. Нажмите название нужного провайдера аутентификации. Отобразится страница настроек провайдера аутентификации аналогичная созданию нового провайдера, но со следующими ограничениями: выбор провайдера недоступен, если он используется в настройках входа в Панели управления Оператора (см. Настройки сотрудника).
  3. Если требуется, измените настройки провайдера, и нажмите Сохранить.
  4. Если нужно удалить провайдера аутентификации, нажмите Удалить и подтвердите действие. Удаление недоступно, если провайдер используется в настройках входа в Панели управления Оператора (см. Настройки сотрудника).