Thanks for sharing your feedback!
Целью процесса авторизации является формализация принятых решений, выделение и распределение ресурсов необходимых для развития бизнеса или выполнения отдельных компонентов.
Ключевые показатели авторизации включают в себя:
Что такое SSO?
Single Sign-On (SSO, технология единого входа) — это метод аутентификации, который позволяет пользователям использовать один набор учетных данных для авторизации в нескольких приложениях. Данное решение помогает централизованно управлять доступом сотрудников и обеспечивать безопасность данных.
SSO в Mindbox реализуется на базе протокола SAML 2.0 посредством поставщика идентификационных данных (Identity Provider), который управляется IT-командой вашей компании.
SAML (Security Assertion Markup Language) 2.0 — это протокол для обмена информацией об аутентификации между сервисом и провайдером идентификации.
Identity Provider (IdP, провайдер идентификации) — это система, которая создает и хранит цифровые идентификационные данные, а также управляет ими. IdP может либо напрямую аутентифицировать пользователя, либо предоставлять услуги аутентификации сторонним поставщикам (приложениям, веб-сайтам или другим цифровым службам). Примеры IdP: Google, Azure AD, Okta, OneLogin.
Отключение SSO
При отключении единого входа доступ на проект будет доступен любому персоналу, не заблокированному непосредственно на платформе Mindbox.
Пользователям без пароля для входа нужно будет воспользоваться функцией восстановления пароля.
Создание персонала
Персонал добавляется стандартными способами вручную или импортом.
Если при создании персонала на проекте включен SSO, пользователи смогут сразу через него авторизовываться. При этом сотрудникам письмо с паролем не отправляется.
Блокировка персонала
Для запрета доступа на платформу нужно:
Блокировка персонала в IdP сработает после завершения текущей сессии; блокировка пользователя на стороне Mindbox не даст пользователю совершить какое-либо действие на странице или перейти в другой раздел.
Технические требования для подключения
Для того, чтобы использовать Mindbox SSO, необходимо иметь:
Преимущества SSO
При включенном SSO редактирование его основных настроек заблокировано. Поэтому для внесения изменений нужно отключить единый вход, поправить настройки и заново включить SSO.
Настраивать «Вход только через SSO» можно без отключения функционала.
Вход персонала через SSO
Алгоритм идентификации при входе через SSO:
Пользователям, добавленным на проект до подключения SSO, также нужно будет разово ввести пароль Mindbox для подтверждения личности.
Как настроить SSO
Функционал может настроить и включить только «Владелец» проекта.
Entity ID в зависимости от используемого IdP может также называться Entity ID, SP Entity ID, Audience URL, SP Audience URL.
Метаданные могут в формате:
Дождитесь проверки. Если система не обнаружит необходимой информации в метаданных, на странице высветится оповещение о проблеме. В таком случае нужно исправить обозначенные ошибки, заново вставить данные и попробовать запустить функцию ещё раз.
После успешного включения появляется соответствующее сообщение:
Выйдите из профиля Mindbox или перейдите на платформу со вкладки в режиме инкогнито и попробуйте авторизоваться через SSO.
Для этого нужно будет подтвердить, что SSO работает:
Теперь персонал сможет заходить в Mindbox только с помощью SSO.
Настройка IdP
В качестве IdP можно использовать сервисы Google, Azure AD, Okta и другие с поддержкой протокола SAML 2.0
Дополнительная документация на сайте Google
Для настройки нужны права суперадминистратора.
Метаданные будут доступны для скачивания и после создания приложения с его страницы.