Общие сведения
В статье описывается настройка двухфакторной аутентификации (2FA), многофакторной аутентификации (MFA) и Single-Sign On для ERP-систем на базе платформы Битрикс24 с использованием SAML-провайдера, в качестве которого выступает Avanpost FAM. В инструкции описывается настройка 2FA/MFA/SSO с использованием SAML-механизма системы Avanpost FAM. Реализация поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом SAML: если пользователь прошёл аутентификацию в веб-приложение в соответствии с настроенным сценарием, то система не будет запрашивать повторного подтверждения аутентификации при аутентификации в другое веб-приложение. Также обеспечивается реализация функциональности SLO (Single Logout) в рамках протокола SAML.
Настройка на стороне Битрикс 24
Осуществить настройку может только Администратор Битрикс24. Настройка приложения на стороне Битрикс24 осуществляется следующим образом:
- Открыть профиль в Битрикс24 и перейти во вкладку "Безопасность" - "SSO и SCIM". В данной вкладке нажать кнопку "Начать настройку".
- Использовать параметр
SP Entity ID
в качестве значения параметраIssuer
SAML-приложения Avanpost FAM Server. - Использовать параметр
ACS URL
в качестве значения параметраACS
для приложения Avanpost FAM Server. - Нажать "Продолжить", чтобы перейти к следующему шагу.
- Чтобы запустить синхронизацию данных, следует ввести значение App Federation Metadata URL. В качестве значения следует указать URL-адрес с параметрами настроенного сервера авторизации пользователей SAML IdP для вашего экземпляра Avanpost FAM Server (например,
http://idp.avanpost.local/.well-known/samlidp.xml
). - Запустить проверку соединения, нажав на кнопку "Начать проверку" и дождать сообщения "Соединение установлено".
Настройка на стороне Avanpost FAM Server
Настройка приложения в административной консоли Avanpost FAM Server при первичной синхронизации осуществляется следующим образом:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" режима "Приложения".
- На этапе "Основные настройки" требуется ввести наименование и выбрать тип "SAML" (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление SAML-приложениями).
- На этапе "Настройка интеграции" заполнить все поля следующим образом (более подробно можно найти значения на Шаг 2. Настройки интеграции для SAML-приложений):
Параметр Значение Issuer
Значение соответствует параметру SP Entity ID
в Битрикс24.ACS
Значение соответствует параметру ACS URL
в Битрикс24.Базовый URL
Допускается не заполнять. Подробнее о параметре: Шаг 2. Настройки интеграции для SAML-приложений. Logout
Допускается не заполнять. Подробнее о параметре: Шаг 2. Настройки интеграции для SAML-приложений. NameID Format
Выбрать "Постоянный" Значение NameID
Имя пользователя - На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для SAML-приложения).
- На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания (более подробно в Шаг 4. Завершение для SAML-приложения).