Creatio administration

Использование технологии единого входа (Single Sign-On)

В Creatio реализована возможность аутентификации по технологии единого входа (Single Sign-On, SSO), которая позволяет использовать единую учетную запись в различных сервисах. Выполнив вход в учетную запись через провайдер идентификации, пользователь получает доступ ко всем связанным приложениям. При выходе из одного из таких сервисов автоматически происходит выход и из других.

Использование Single Sign-On позволяет:

повысить безопасность и облегчить работу пользователя благодаря уменьшению количества хранимых паролей;

уменьшить затраты времени на аутентификацию в каждом сервисе;

упростить администрирование учетных записей;

облегчить внедрение технологии повышения безопасности благодаря использованию единого провайдера аутентификации для различных операционных систем и устройств.

На заметку

Creatio поддерживает SAML 2.0 и совместима с любым провайдером идентификации, который использует этот протокол.

На заметку

Идентификация пользователей Single Sign-On поддерживается также на мобильных устройствах, которые работают на платформах iOS и Android.

Основные термины технологии Single Sign-On

Single Sign-On, SSO, технология единого входа — технология контроля доступа, обеспечивающая идентификацию пользователя с помощью единого ресурса. Технология включает в себя методы Single Sign-On, Single Sign-Off (Single Log Out), Just-In-Time Provisioning.

Single Sign-Off (Signle Log Out) — обратный метод, прекращающий доступ пользователя к ресурсам после выполнения выхода из одного из ресурсов.

Just-In-Time Provisioning — создание учетной записи, если она отсутствует в целевом приложении.

Провайдер идентификации (Identity provider) — сервис, который выполняет проверку подлинности пользователя на основании своей контактной книги (Directory) или обращается к выделенному сервису. Creatio поддерживает SAML 2.0 и совместима с любым провайдером идентификации, который использует этот протокол.

Поставщик сервиса (Service Provider) — сервис или система, ресурсы которой запрашивает пользователь.

Ресурс — информация, которую запрашивает пользователь у провайдера сервиса.

User Agent — пользовательская среда, браузер или другое клиентское приложение на устройстве пользователя.

Аутентификация — процесс проверки подлинности пользователя.

Авторизация — процесс проверки разрешения на выполнение действия, операции.

Federated SSO — схема аутентификации, при которой поставщик сервиса выполняет переадресацию пользователя к провайдеру идентификации, не получая учетные данные пользователя.

Преимущества технологии единого входа

Приведенные ниже примеры иллюстрируют преимущества использования технологии единого входа Single Sign-On:

Автоматическое создание учетной записи пользователя при первом входе на ресурс

Пользователю, который имеет учетную запись в домене организации, нет необходимости создавать учетную запись для каждого ресурса. Достаточно ввести свои учетные данные и в результате:

При наличии в домене пользователя с идентичным логином для нового пользователя в Creatio будет создан контакт и учетная запись.

Данные контакта будут заполнены в соответствии с настройками справочника [Преобразователь SAML атрибута в название поля контакта]. Созданную запись можно найти и просмотреть в разделе [Контакты].

Учетной записи будут предоставлены организационные и функциональные роли, аналогичные ролям этого пользователя на ресурсах домена. Созданную запись можно просмотреть в разделе управления ролями и пользователями.

На заметку

Функциональность автоматического создания пользователя настраивается отдельно после настройки единого входа и может быть отключена.

Одновременная авторизация на нескольких ресурсах

При входе на один из ресурсов, связанных с провайдером идентификации, аутентификация во все связанные сервисы будет выполняться автоматически. То есть при входе в другие приложения пользователю не нужно будет вводить логин и пароль.

Одновременный выход со всех ресурсов

При выходе из одного из ресурсов все открытые приложения будут оповещены о необходимости завершить сессию пользователя. Как следствие, связанные ресурсы также завершат текущую сессию работы пользователя.

Как настроить Single Sign-On

Для настройки SSO-аутентификации выполните следующие шаги:

1.На стороне Identity provider настройте доверенные отношения к сайту Creatio.

2.На стороне Creatio добавьте доверенный провайдер идентификации. Если необходимо, укажите на стороне Creatio использование провайдера SSO по умолчанию.

Для настройки сервиса необходимы:

1.Сайт Creatio, доступный по https-протоколу, а также доступ к сайту на уровне администратора.

На заметку

Настройка Creatio для использования протокола https рассмотрена в статье “Перевод Creatio с http на https”.

2.Доступ на уровне администратора к провайдеру идентификации.

3.Пользователи в домене организации.

Creatio можно интегрировать с любым провайдером идентификации, который поддерживает протокол SAML 2.0. Это руководство содержит рекомендации по настройке SSO с помощью самых распространенных провайдеров идентификации: ADFS и OneLogin.

Содержание

Настройка интеграции с ADFS

Настройка интеграции с OneLogin

Был ли данный материал полезен?

Как можно улучшить эту статью?