Настроить SSO-аутентификацию

Аутентификация в СБИС через SSO позволит безопасно и просто настроить единый вход в личный кабинет без создания логинов и паролей на портале. Технология не требует прямого доступа к контроллерам домена.

Подготовка

1. Убедитесь, что ваша корпоративная сеть построена на основе домена и службы Azure Active Directory или ADFS настроены.
   Они позволяют использовать единую аутентификацию для учетных записей домена по протоколу SAML 2: портал СБИС выступает как Service Provider (SP), а службы ADFS или Azure Active Directory в роли Identity Provider (IDP).
2. Скачайте файл для загрузки метаданных (XML, 490 байт).
3. Загрузите файл в свой IDP-провайдер или укажите в провайдере параметры SP.
   • Как загрузить в Azure Active Directory?
   • Как загрузить в ADFS?
   • Как загрузить в Keycloak?
   • Какие параметры SP указать?
4. Дайте доступ в СБИС пользователям, которые будут авторизовываться через SSO.
5. Подготовьте службу и данные для интеграции, если будете авторизовываться через мобильное приложение СБИС.

Настройка аутентификации

1. В личном кабинете СБИС перейдите в раздел «Настройки/Интеграции» и выберите «Enterprise SSO».
   
2. Введите название провайдера. Выберите способ подключения:
   • SAML — для аутентификации на компьютере;
   • OAUTH — для входа через приложение СБИС или браузер.
   
   • Как запретить пользователям вход по номеру телефона или email?
3. Укажите настройки подключения:
   • по SAML — кликните «Загрузить» и выберите файл метаданных IDP-провайдера вашего корпоративного домена;
     
     • Как получить файл метаданных в Azure Active Directory?
     • Как получить файл метаданных в ADFS?
     • Как получить файл метаданных в Keycloak?
   • по OAUTH — заполните поля данными, которые вы подготовили при настройке службы.
     
   • Как завершить сессию в провайдере?
4. Включите автоматический вход для всех пользователей:
   • по номеру телефона — активируйте переключатель;
   • по домену корпоративной почты — отметьте настройку «По корпоративному e-mail». Напишите домен и нажмите .
     
   ,
• Как настроить доступ вручную?
• Как настроить Azure Active Directory, чтобы сервис аутентификации сопоставлял пользователей по email?
• Как настроить ADFS, чтобы сервис аутентификации сопоставлял пользователей по email?
• Как настроить Keycloak, чтобы сервис аутентификации сопоставлял пользователей по email?
5. Нажмите . Настройки подключения отправятся на модерацию.
6. Перейдите на страницу авторизации в СБИС и выберите провайдера.
   
   • Как выбрать провайдера в мобильном приложении СБИС?
7. Авторизуйтесь на корпоративном портале.

Аутентификация через SSO в СБИС настроена.