Як налаштувати автентифікацію та управління доступом?

Автентифікація та управління доступом дозволяють налаштувати способи входу користувачів у систему та централізоване управління доступами. ConnectiveOne підтримує SSO (Single Sign-On) через Google та інтеграцію з Microsoft Active Directory.

Коли знадобиться

  • Потрібно налаштувати вход через Google для користувачів.
  • Треба інтегрувати систему з Microsoft Active Directory для централізованого управління доступами.
  • Потрібно спростити процес авторизації для користувачів.
  • Треба централізовано керувати ролями та правами доступу.

Що важливо знати

  • SSO (Single Sign-On) — технологія, яка дозволяє користувачам використовувати одну пару облікових даних для доступу до системи.
  • Microsoft Active Directory (AD) — інструмент для централізованого управління обліковими записами користувачів через LDAP.
  • Налаштування SSO та AD виконуються технічною підтримкою.
  • SSO не створює нових користувачів автоматично — користувач повинен бути попередньо створений та активований.

Перед початком

  • Ви увійшли в систему з правами адміністратора.
  • Ви маєте доступ до технічної підтримки або менеджера для налаштування.
  • Для AD: у вас є Enterprise пакет підтримки.

SSO авторизація Google

Що таке SSO?

SSO (Single Sign-On) — це технологія, яка дозволяє користувачам використовувати одну пару облікових даних (логін та пароль) для доступу до декількох систем або додатків. Це спрощує процес авторизації, підвищує зручність та безпеку.

Підтримуваний метод SSO

На даний момент система підтримує лише один метод SSO — Google. Це означає, що користувачі можуть використовувати свій обліковий запис Google для входу в систему.

Логіка роботи

Існуючий користувач (активований):

  • Якщо користувач вже зареєстрований у системі та його обліковий запис активований, він може увійти двома способами:
    • Через стандартний вхід (логін/пароль)
    • Через SSO, використовуючи облікові дані Google

Новий користувач або неактивований обліковий запис:

  • Якщо облікового запису немає у системі або він неактивний, авторизація буде заблокована, навіть через SSO.

⚠️ Важливо: SSO не створює нових користувачів автоматично. Користувач повинен бути попередньо створений та активований в системі.

Приклади зовнішнього вигляду сторінки логіну

SSO є основним методом входу:

  • На сторінці відображається великий і яскравий елемент для входу через Google SSO
  • Додатково вказана кнопка для стандартного входу за логіном і паролем
  • Пріоритетно підкреслюється зручність і швидкість входу через Google

Стандартний вхід є основним методом:

  • Спочатку відображається форма входу за логіном і паролем
  • Google SSO доступний як додатковий варіант з менш виразною візуальною ієрархією

Налаштування SSO

💡 Примітка: Для налаштування SSO зверніться до технічної підтримки або до вашого менеджера.

Налаштування SSO виконується технічною підтримкою та включає:

  • Налаштування OAuth 2.0 з Google
  • Конфігурацію redirect URI
  • Налаштування маппінгу email адрес
  • Тестування авторизації

Обмеження SSO

  • Підтримується тільки Google SSO
  • Користувач повинен бути попередньо створений та активований в системі
  • Email в Google акаунті повинен співпадати з email в ConnectiveOne
  • SSO не створює нових користувачів автоматично

Переваги SSO

  • Зручність — один логін для всіх систем
  • Безпека — централізоване управління доступом
  • Швидкість — швидший вхід без введення пароля
  • Менше паролів — зменшення ризику втрати паролів

Microsoft Active Directory (AD) для управління доступом

Що таке Active Directory?

LDAP (Lightweight Directory Access Protocol) — це протокол доступу до інформації про користувачів та ресурси, яка зберігається у каталозі корпорації, наприклад, Microsoft Active Directory (AD).

Active Directory — це інструмент Microsoft для централізованого управління обліковими записами користувачів, їх правами та доступами до ресурсів організації.

Логіка роботи з Active Directory (AD)

У ConnectiveOne можливості Active Directory використовується для управління авторизацією співробітників. Управління користувачами повністю здійснюється через AD, і авторизація базується на перевірці даних через LDAP.

Перевірка користувача:

  • Якщо в AD знайдено email користувача, то йому надається можливість увійти до системи
  • Якщо email не знайдено в AD, вхід буде заблокований

Оновлення даних користувача:

  • При кожній спробі входу система оновлює роль користувача відповідно до тієї, що передана з AD
  • Також оновлюються інші дані, що синхронізуються через LDAP (наприклад, ім'я, посада тощо)

Блокування доступу:

  • Якщо користувач видалений з AD або його обліковий запис деактивовано, вхід до системи буде неможливий

Налаштування та підключення

Підключення до Active Directory та налаштування синхронізації через LDAP здійснюється технічною підтримкою.

⚠️ Важливо: Доступність цієї функції передбачена лише в рамках Enterprise пакету підтримки.

Налаштування включає:

  • Вказання адреси AD-сервера (LDAP URL)
  • Конфігурацію синхронізації ролей та даних користувача
  • Перевірку коректності доступу та прав
  • Налаштування періодичності синхронізації (якщо необхідно)

Особливості інтеграції

Даний підхід дозволяє централізовано керувати доступами та ролями співробітників, що зменшує адміністративне навантаження.

Зміни у правах доступу користувача в AD автоматично оновлюються в нашій системі при наступній авторизації.

Помилки при авторизації

У разі помилки ви отримуєте опис проблеми.

Типові помилки:

  • "User not found in AD" — користувач не знайдений в Active Directory
  • "LDAP connection failed" — помилка підключення до AD сервера
  • "Invalid credentials" — некоректні облікові дані
  • "Account disabled" — обліковий запис деактивовано в AD

Обмеження AD

  • Функція доступна тільки для Enterprise клієнтів
  • Необхідна налаштування технічною підтримкою
  • Email користувача повинен співпадати в AD та ConnectiveOne
  • Зміни в AD відображаються при наступній авторизації (не в реальному часі)

Переваги AD

  • Централізоване управління користувачами
  • Автоматична синхронізація ролей та прав
  • Зменшення адміністративного навантаження
  • Підвищення безпеки через централізоване управління доступом

Що відбувається після

Після налаштування SSO або Active Directory користувачі можуть використовувати нові способи входу в систему. При використанні AD зміни в правах доступу автоматично синхронізуються при наступній авторизації.

Як переконатися, що все вдалось

  • Перевірте, що SSO або AD налаштовано технічною підтримкою.
  • Протестуйте вхід через SSO або AD з тестовим користувачем.
  • Переконайтеся, що користувачі мають правильні права доступу.
  • Перевірте, що синхронізація ролей працює коректно (для AD).

Пов'язані матеріали