На тарифном плане Enterprise доступна возможность интегрироваться с популярными системами единого входа (SSO), что позволит управлять большим количеством пользователей.
Что такое SSO и кому это будет полезно?
Единый вход в систему (SSO) – это решение для аутентификации, которое дает пользователям возможность входить в несколько приложений и веб-сайтов с использованием единовременной аутентификации пользователя.
Использование SSO для упрощения входа пользователей в систему приносит пользу пользователям и организациям по нескольким направлениям:
- Усиление защиты паролями
- Повышение производительности
- Сокращение затрат
- Укрепление возможностей обеспечения безопасности
Для того, чтобы подключить данный тип авторизации, нужно:
- Перейти в раздел "Настройки"
- Открыть раздел "Пользователи"
- Нажать на троеточие в правой верхней части, чтобы появилась возможность настроить интеграцию с IdP (identity provider). При нажатии на три точки в правом верхнем углу и выбрав “Единый вход SSO”, откроется модальное окно настройки подключения
- В открывшемся модальном окне есть две вкладки: Данные для amoCRM и Данные для Identity Provider.
Вкладка “Данные для amoCRM” содержит в себе ряд настроек:
- - Создать подключение и задать ему название
- - Активировать подключение. Это означает, что группы пользователей, которые указаны в настройках могут теперь авторизоваться только через SSO в этом аккаунте
- - Указать данные “Отправителя” из приложения IdP
- - Указать данные “SSO url” из приложения IdP
- - Указать сертификат из приложения IdP
- - Выбрать роль, которая будет устанавливаться по умолчанию для новых пользователей в аккаунте при авторизации по ссылке-приглашению. Если роль не выбрана, то по умолчанию будут устанавливаться красные права.
- - Выбрать группу пользователей amoCRM, которые смогут авторизоваться через SSO по логину и паролю. Администраторы аккаунта amoCRM всегда авторизуются по паролю.
- - Скопировать ссылку-приглашение, чтобы отправить пользователям для приглашения в аккаунт (при превышении лимита пользователей новый пользователь будет создан, но аккаунт будет заблокирован из-за превышения квот)
Вкладка “Данные для Identity Provider” содержит информацию для настройки SSO со стороны вашего idP сервера
- - Данные "Отправителя" для указания их в приложении IdP
- - "SSO url" для указания их в приложении IdP
- - Сертификат для указания в приложении IdP (не все IdP требуют сертификат с нашей стороны)
- - Url метаданных. Cсылка, в которой хранится Отправитель, "SSO url" и сертификат конкретного аккаунта amoCRM. Ее можно указать в приложении IdP вместо копирования отдельных данных для приложения (не все IdP умеют распознавать метаданные)
После завершения всех настроек, можно проверить подключение, нажав на кнопку "Сохранить и проверить подключение". Произойдет имитация авторизации по SSO. При корректной настройке появится окно “Проверка подключения прошла успешно”.
После активации подключения по прямой ссылке в аккаунт появится кнопка “Войти через SSO”. Авторизоваться по ней смогут только те пользователи, которые уже добавлены в аккаунт.
Чтобы авторизоваться новому пользователю, нужно перейти по ссылке-приглашению, после чего произойдет редиррект в систему IdP, где нужно ввести логин и пароль от пользователя IdP. При успешной авторизации, откроется аккаунт amoCRM, в котором можно работать.
После авторизации через SSO в amoCRM, в списке доступных аккаунтов при клике на аватар будет виден конкретный аккаунт (даже если у пользователя их несколько). В эту конкретную систему нельзя авторизоваться по логину и паролю, если группа пользователя находится в группе SSO.