Единый вход на проект (SSO)

Что такое SSO?

Single Sign-On (SSO, технология единого входа) — это метод аутентификации, который позволяет пользователям использовать один набор учетных данных для авторизации в нескольких приложениях. Данное решение помогает централизованно управлять доступом сотрудников и обеспечивать безопасность данных.

SSO в Mindbox реализуется на базе протокола SAML 2.0 посредством поставщика идентификационных данных (Identity Provider), который управляется IT-командой вашей компании.

SAML (Security Assertion Markup Language) 2.0 — это протокол для обмена информацией об аутентификации между сервисом и провайдером идентификации.

Identity Provider (IdP, провайдер идентификации) — это система, которая создает и хранит цифровые идентификационные данные, а также управляет ими. IdP может либо напрямую аутентифицировать пользователя, либо предоставлять услуги аутентификации сторонним поставщикам (приложениям, веб-сайтам или другим цифровым службам).
Примеры IdP: Google, Azure AD, Okta, OneLogin.

Преимущества SSO

• Помогает управлять доступом сотрудников к приложениям. Можно легко аннулировать, если пользователь покидает организацию;
• Избавляет сотрудников от необходимости запоминать большое количество паролей к каждому сервису;
• Достаточно сменить пароль один раз для восстановления доступа ко всем приложениям, если данные пользователя скомпрометированы.

Вход персонала через SSO

Алгоритм идентификации при входе через SSO:

1. Пользователь открывает страницу логина и выбирает вход через SSO.
2. Mindbox перенаправляет его в ваш IdP.
3. Персонал вводит учетные данные на стороне IdP.
4. IdP перенаправляет его в Mindbox.
5. Mindbox аутентифицирует клиента.

Если персонал уже залогинен в IdP, повторно вводить пароль не понадобится, пользователь будет автоматически авторизован в Mindbox через IdP.

Создание персонала

Персонал добавляется стандартными способами вручную или импортом.

Если при создании персонала на проекте включен SSO, пользователи смогут сразу через него авторизовываться. При этом сотрудникам письмо с паролем не отправляется.

Блокировка персонала

Для запрета доступа на платформу нужно:

1. Заблокировать пользователя в IdP;
2. Заблокировать пользователя на стороне Mindbox:
   

Блокировка персонала в IdP сработает после завершения текущей сессии; блокировка пользователя на стороне Mindbox не даст пользователю совершить какое-либо действие на странице или перейти в другой раздел.

Отключение SSO

Пользователям без пароля для входа нужно будет воспользоваться функцией восстановления пароля.

Технические требования для подключения

Для того, чтобы использовать Mindbox SSO, необходимо иметь:

• Включенный модуль Enterprise-security;
• Identity Provider с поддержкой протокола SAML 2.0.

Как настроить SSO

1. Перейдите в раздел Настройки → Безопасность → Настройка SSO:

2. Скопируйте ACS (Access Control Server) и Entity ID и вставьте их в соответствующие поля в настройке вашего IdP.

Entity ID в зависимости от используемого IdP может также называться Entity ID, SP Entity ID, Audience URL, SP Audience URL.

3. Выберите способ идентификации пользователя (Name ID): по почте или логину.

Для этого уточните используемый идентификатор в вашем IdP. Обычно используется email, но Mindbox поддерживает также аутентификацию по логину.

Name ID в зависимости от используемого IdP может также называться Name ID format, Unique user identifier, Name identifier format.

4. Скопируйте метаданные вашего IdP и вставьте их в соответствующий блок.

Метаданные могут в формате:

• Metadata URL
• Metadata XML

Если Metadata XML предоставлен в виде файла, скачайте его, скопируйте полностью содержимое и вставьте код в поле.

5. Включите SSO — кнопка находится в правом верхнем углу экрана.

Дождитесь проверки. Если система не обнаружит необходимой информации в метаданных, на странице высветится оповещение о проблеме. В таком случае нужно исправить обозначенные ошибки, заново вставить данные и попробовать запустить функцию ещё раз.

После успешного включения появляется соответствующее сообщение:

6. Убедитесь, что функционал отрабатывает корректно.

Выйдите из профиля Mindbox или перейдите на платформу со вкладки в режиме инкогнито и попробуйте авторизоваться через SSO.

7. После успешного тестирования можно включить принудительный вход по SSO.

Для этого нужно будет подтвердить, что SSO работает:

Теперь персонал сможет заходить в Mindbox только с помощью SSO.

Как редактировать настройки SSO

При включенном SSO редактирование его основных настроек заблокировано. Поэтому для внесения изменений нужно отключить единый вход, поправить настройки и заново включить SSO.

Настраивать «Вход только через SSO» можно без отключения функционала.

Настройка IdP

В качестве IdP можно использовать сервисы Google, Azure AD, Okta и другие с поддержкой протокола SAML 2.0

Google

Дополнительная документация на сайте Google

1. Войдите в консоль администратора.
2. На вкладке Приложения -> Мобильные приложения нажмите «Добавить» -> «Добавить пользовательское SAML-приложение»:

3. На странице Описание приложения задайте название. Можно также указать описание и добавить значок:

4. На странице Сведения о поставщике идентификационной информации Google скачайте файл с метаданными:

Код из файла нужно будет вставить в настройках SSO в Mindbox в поле «Вставьте URL или XML с метаданными вашего IdP» -> «Metadata XML».

Метаданные будут доступны для скачивания и после создания приложения с его страницы.

5. На странице Сведения о поставщике услуг заполните:

• URL ACS — скопируйте из настроек SSO Mindbox значение поля ACS;
• Идентификатор объекта — скопируйте из настроек SSO Mindbox значение поля Entity ID.

6. Завершите настройку:

7. Зайдите на страницу созданного приложения и на вкладке Доступ пользователей укажите, для какого круга пользователей нужно включить сервис: