Шрифт Хелп-Центр
Шрифт Хелп-Центр
Breadcrumbs

Інтеграція з SSO провайдерами

Система Шрифт підтримує інтеграцію з різними SSO (single-sign-on) провайдерами.

У багатьох клієнтів є потреба в такій можливості, якщо для управління доступом співробітників до інформаційних ресурсів компанії використовується керований компанією сервіс.

Система Шрифт підтримує інтеграцію з сервісами Auth0 і Azure AD. Ми готові розширювати склад таких сервісів, якщо у наших клієнтів виникають відповідні потреби.

Користувач, авторизований за логіном і паролем або за допомогою Google / Apple акаунта, отримує доступ до всіх компаній, у яких у нього, як у співробітника, є чинні призначення, крім компаній, доступ до яких налаштований за SSO. Для доступу в компанію, в якій активована інтеграція з одним із SSO провайдерів, користувачеві необхідно авторизуватися зі своїм обліковим записом у цьому SSO сервісі.

Якщо користувач авторизувався тільки за SSO, він отримає доступ тільки до відповідної компанії. Для доступу до інших компаній і до акаунта користувача в системі Шрифт, йому потрібно авторизуватися за логіном і паролем або за допомогою Google / Apple акаунта.

Налаштування інтеграції

Для налаштування інтеграції необхідно перейти в розділ Налаштування > Акаунт компанії > Інтеграції.

Зверніть увагу, у момент активації інтеграції з Auth0, доступ до компанії буде припинено для всіх співробітників компанії, доки вони не авторизуються у свій акаунт SSO сервісу.

Налаштування інтеграції з Auth0

Введіть дані клієнта із сервісу Auth0 у відповідні поля в плашці налаштування інтеграції. Щоб отримати необхідні дані для налаштування:

  1. Увійдіть у панель керування Auth0.

  2. Перейдіть у розділ «Applications» (Додатки).

  3. Виберіть або створіть потрібний додаток (наприклад Шрифт).

  4. Вкладка «Settings» (Налаштування) містить дані для інтеграції, такі як Client ID, Client Secret і Domain.

  5. Скопіюйте ці дані у відповідні поля.

Налаштування інтеграції з Microsoft Entra ID

Microsoft Entra ID раніше мала назву Microsoft Active Directory або Azure AD.

Введіть дані клієнта із сервісу Microsoft Azure у відповідні поля в плашці налаштування інтеграції. Щоб отримати необхідні дані для налаштування:

  • Увійдіть у панель керування http://portal.azure.com: Home > App registrations. Виберіть або створіть потрібний додаток (наприклад Шрифт) і перейдіть у розділ Overview. Скопіюйте значення з поля Application (client) ID і вставте його в поле Client Id (в Шрифт).

image-20241123-154625.png

  • Перейдіть у таб “Endpoints”. Скопіюйте значення в поле “OpenID Connect metadata document” і вставте його в поле Domain URI (в Шрифт).

image-20241123-154538.png

  • Перейдіть у Client credentials, клікнувши на відповідному значенні. Створіть значення по “+ New client secret”, скопіюйте його значення Value і вставте його в поле Client Secret (в Шрифт).

image-20241123-155240.png

В акаунті Microsoft Azure Applications > Schrift > Manage > Authentications, потрібно виконати дію Add platform > Web і ввести в поле Redirect URIs посилання:
https://accounts.ostrean.com/sso-callback

Збережіть налаштування й активуйте сервіс інтеграції.

Сервіс Microsoft Entra ID надає Client Secret з певним терміном дії. Адміністратору компанії необхідно контролювати термін дії цього секрету, щоб оновлювати його до закінчення цього терміну.

Інакше доступ до даних компанії буде заблоковано для всіх користувачів, і буде потрібно вирішувати проблему, що виникла, через техпідтримку Шрифт.

Авторизація за SSO

Для доступу до компанії, в якій активована відповідна SSO інтеграція, потрібно вказати ID або кастомне доменне ім'я компанії (якщо в налаштуваннях компанії використовується кастомне доменне ім'я).

Якщо ID або кастомне доменне ім'я компанії введено вірно, система Шрифт автоматично визначить провайдера SSO, який використовується, і направить користувача на форму авторизації у цього провайдера. Якщо користувач вже був авторизований у цього провайдера в тому самому браузері, то доступ до компанії буде надано відразу.

Під час першого входу користувача в компанію, в якій його додали в систему як співробітника, не потрібно надсилати йому запрошення на імейл. Достатньо вказати його імейл у даних співробітника.

Гібридна авторизація (доступ без SSO)

У компаніях, де активована інтеграція SSO, стандартним методом входу є авторизація через корпоративний сервіс ідентифікації. Проте для окремих випадків у «Шрифті» передбачена можливість гібридної авторизації.

У властивостях кожного співробітника адміністратор може налаштувати індивідуальний доступ:

  • Чекбокс «Активувати гібридну авторизацію (без SSO) для співробітника»: Якщо цю опцію ввімкнено, конкретний користувач отримує можливість обходити SSO-шлюз.

  • Як це працює: Такий співробітник зможе авторизуватися в системі за допомогою стандартної пари «логін та пароль», навіть якщо для всієї решти компанії вхід через SSO є обов’язковим.

  • Коли це корисно:

    • Для доступу зовнішніх користувачів (фрілансерів, партнерів), а також співробітників, для яких не було необхідності створювати обліковий запис у корпоративному Identity Provider (продавці, водії, комірники тощо), які не включені до вашого корпоративного каталогу.

    • Для забезпечення безперервної роботи адміністраторів у разі проведення технічних робіт на стороні вашого SSO-провайдера.