Avanpost FAM/MFA+ : Настройка 2FA/MFA/SSO для Битрикс24

Общие сведения

В статье описывается настройка двухфакторной аутентификации (2FA), многофакторной аутентификации (MFA) и Single-Sign On для ERP-систем на базе платформы Битрикс24 с использованием SAML-провайдера, в качестве которого выступает Avanpost FAM.  В инструкции описывается настройка 2FA/MFA/SSO с использованием SAML-механизма системы Avanpost FAM. Реализация поддерживает функциональность SSO (Signle Sign-On), обеспечиваемую протоколом SAML: если пользователь прошёл аутентификацию в веб-приложение в соответствии с настроенным сценарием, то система не будет запрашивать повторного подтверждения аутентификации при аутентификации в другое веб-приложение. Также обеспечивается реализация функциональности SLO (Single Logout) в рамках протокола SAML.

Настройка на стороне Битрикс 24

Осуществить настройку может только Администратор Битрикс24. Настройка приложения на стороне Битрикс24 осуществляется следующим образом:

  1. Открыть профиль в Битрикс24 и перейти во вкладку "Безопасность" - "SSO и SCIM". В данной вкладке нажать кнопку "Начать настройку".
  2. Использовать параметр SP Entity ID в качестве значения параметра Issuer SAML-приложения Avanpost FAM Server.
  3. Использовать параметр ACS URL в качестве значения параметра ACS для приложения Avanpost FAM Server.
  4. Нажать "Продолжить", чтобы перейти к следующему шагу.
  5. Чтобы запустить синхронизацию данных, следует ввести значение App Federation Metadata URL. В качестве значения следует указать URL-адрес с параметрами настроенного сервера авторизации пользователей SAML IdP для вашего экземпляра Avanpost FAM Server (например, http://idp.avanpost.local/.well-known/samlidp.xml).
  6. Запустить проверку соединения, нажав на кнопку "Начать проверку" и дождать сообщения "Соединение установлено".

Настройка на стороне Avanpost FAM Server

Настройка приложения в административной консоли Avanpost FAM Server при первичной синхронизации осуществляется следующим образом:

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" режима "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип "SAML" (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление SAML-приложениями).
  3. На этапе "Настройка интеграции" заполнить все поля следующим образом (более подробно можно найти значения на Шаг 2. Настройки интеграции для SAML-приложений):
    ПараметрЗначение
    IssuerЗначение соответствует параметру SP Entity ID в Битрикс24.
    ACSЗначение соответствует параметру ACS URL в Битрикс24.
    Базовый URLДопускается не заполнять. Подробнее о параметре: Шаг 2. Настройки интеграции для SAML-приложений.
    LogoutДопускается не заполнять. Подробнее о параметре: Шаг 2. Настройки интеграции для SAML-приложений.
    NameID FormatВыбрать "Постоянный"
    Значение NameIDИмя пользователя
  4. На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для SAML-приложения).
  5. На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания (более подробно в Шаг 4. Завершение для SAML-приложения).


Обсуждение