Интеграция с ADFS по протоколу OIDC (OpenID Connect) предоставляет безопасный способ аутентификации, при котором пользователи могут использовать свои корпоративные учетные записи для доступа к VK WorkSpace без необходимости повторного ввода пароля.
Внимание
Подключение SSO доступно только на тарифах «Индивидуальный» и «Расширенный». После включения SSO двухфакторная аутентификация и пароли всех доменных пользователей сбросятся.
Шаг 1. Установите ADFS и добавьте группу приложений
Установите и настройте Active Directory Federation Service (ADFS) на сервере в вашей организации.
ADFS должна быть настроена с SSL-сертификатом и подключена к домену Active Directory. На уровне сетевой конфигурации необходимо разрешить входящие HTTPS-запросы с IP-адресов из диапазона 95.163.133.4/30.
В интерфейсе ADFS откройте раздел Группы приложений и нажмите на Добавить группу приложений.
Укажите имя группы, описание (опционально), выберите шаблон Серверное приложение и нажмите на кнопку Далее.
Откроется шаг Приложение сервера. Скопируйте данные из поля Идентификатор клиента в буфер обмена.
Шаг 2. Начните настройку в панели администратора
В панели администратора перейдите в раздел Конфигурация → Настройки → Способы аутентификации.
В блоке SSO – технология единого входа нажмите на кнопку Настройки.
Заполните форму:
- В поле Client ID вставьте идентификатор клиента, которы вы скопировали в интерфейсе ADFS.
- Из поля URL для обратного редиректа скопируйте URL в буфер обмена.
Вернитесь в интерфейс ADFS.
Шаг 3. Укажите URL для обратного редиректа в ADFS
В интерфейсе ADFS:
Вставьте URL для обратного редиректа в поле Перенаправить URI, нажмите на кнопку Добавить, затем на кнопку Далее.
Откроется шаг Настроить учетные данные приложения. Отметьте галочкой Создать общий секрет и скопируйте его в буфер обмена.
Нажмите Далее → Далее → Закрыть.
Шаг 4. Укажите ключ-секрет в панели администратора
Перейдите в интерфейс настроек SSO в панели администратора VK WorkSpace. Вставьте ключ-секрет в поле Client Secret и нажмите на кнопку Сохранить.
Шаг 5. Выполните остальные настройки в интерфейсе ADFS
Обязательные настройки
Перейдите в интерфейс ADFS и дважды нажмите на ранее созданную группу:
В открывшемся окне нажмите на кнопку Добавить приложение.
Выберите шаблон Веб-интерфейс API и нажмите на кнопку Далее.
Впишите в поле Идентификатор значение
myteam.vmailru.net, нажмите на кнопку Добавить, затем на кнопку Далее.
Выберите политику управления доступом:
Если вы хотите, чтобы все пользователи каталога могли авторизоваться в продуктах VK Workspace с помощью SSO, то необходимо использовать политику Разрешение для каждого.
Если хотите ограничить список пользователей, то используйте Разрешение для определенной группы.
После выбора политики нажмите на кнопку Далее.
В разделе Разрешенные области необходимо отметить галочками:
allatclaimsemailopenidprofileuser_impersonation
Нажмите Далее -> Далее -> Закрыть.
Опциональные настройки
Выполните эти настройки, если нужно, чтобы в системе и адресной книге отображалась дополнительная информация о пользователе.
Откройте свойства созданной группы, выберите добавленный на предыдущем шаге веб-интерфейс API и нажмите на кнопку Изменить.
Откройте вкладку Правила преобразования выдачи и нажмите на кнопку Добавить правило.
Выберите шаблон Отправка атрибутов LDAP как утверждений и нажмите на кнопку Далее.
Задайте имя для правила, выберите Active Directory в качестве хранилища атрибутов и для атрибутов LDAP пропишите соответствующие утверждения:
Тип утверждения Описание related_emails Связанные почтовые ящики.
Если корпоративная учетная запись Active Directory привязана к нескольким адресам электронной почты, то необходимо добавить их в атрибутProxy-Addressesи сопоставить с утверждениемrelated_emailsemail Почтовый ящик.
Если корпоративная учетная запись Active Directory отличается от привязанного к ней адреса электронной почты, то необходимо сопоставить атрибутE-Mail-Addressesс утверждениемemailgiven_name Имя family_name Фамилия job_title Должность department Подразделение company Организация phone Рабочий номер телефона phone_fax Факс phone_home Домашний номер телефона phone_mobile Мобильный номер телефона phone_other Дополнительный номер телефона address Адрес comment Примечание / комментарий boss ФИО руководителя Пример сопоставления атрибутов LDAP и утверждений в интерфейсе ADFS:
Нажмите на кнопку Готово, затем на кнопку OK.
Шаг 6. Активируйте вход через SSO в панели администратора
Перейдите в интерфейс настроек SSO в панели администратора VK Workspace (Конфигурация → Настройки → Способы аутентификации) и включите вход через SSO:
Шаг 7. Убедитесь, что аутентификация через SSO работает
- Авторизуйтесь в любом сервисе VK WorkSpace через учетную запись, заведенную в панели администратора.
- Авторизуйтесь в любом сервисе VK WorkSpace через учетную запись, заведенную в ADFS и отсутствующую в панели администратора. Проверьте, что сотрудник появился в списке пользователей после успешной авторизации (раздел Пользователи в меню панели администратора).
Примечание
Новые сотрудники создаются в VK WorkSpace автоматически в момент первой авторизации через SSO. В случае блокировки пользователя в Active Directory все его сессии в VK WorkSpace будут завершены, и он больше не сможет войти в сервисы, но его статус в разделе Пользователи в панели администратора при этом не изменится. Изменить статус пользователя на «Заблокирован» надо будет вручную через интерфейс панели администратора.
