Azure SAML SSO

Это страница содержит описание для SuiteCRM 7.x. Описание для SuiteCRM 8.x. находится здесь.

Единый вход в систему

SuiteCRM может использовать стороннего поставщика управления доступом, например Microsoft Azure Active Directory и протокол SAML для обеспечения аутентификации при едином входе. Вы можете использовать Azure AD для контроля доступа в SuiteCRM и автоматического входа в систему.

Мы рекомендуем использовать последнюю версию SuiteCRM 7.x, с последними улучшениями и исправлениями.

Для успешного входа в систему пользователь должен существовать как в Azure AD, так и в SuiteCRM.

Имена пользователей в SuiteCRM 7.x должны совпадать с адресом электронной почты в Azure. Если вы использовали обычные имена пользователей, их следует заранее изменить на соответствующие адреса электронной почты.

1. Настройка приложения в Azure

Прежде всего зарегистрируйте новое приложение в Azure. Это приложение определяет, каким образом Azure в качестве поставщика удостоверений (IDP) будет взаимодействовать с экземпляром SuiteCRM.

В результате вы получите необходимые данные и сертификат для настройки SuiteCRM.

Приложения SAML в Azure уникальны для каждого экземпляра системы, поскольку URL-адрес SuiteCRM проверяется в процессе входа. Если SAML необходим для тестового или рабочего окружения, то для каждого окружения потребуется новое приложение.

1.1. Регистрация нового приложения

Войдите в Microsoft Azure и выберите службу Azure Active Directory.

В левом меню выберите Enterprise applications.

SuiteCRM SSO Azure side menu

В верхнем меню выберите New Application.

SuiteCRM SSO Azure top menu

В верхнем меню выберите Create your own application.

  1. Введите описательное имя, например SuiteCRM SAML Authentication.

  2. Выберите Integrate any other application you don’t find in the gallery (Non-gallery).

  3. Нажмите Create, после чего вы попадете в на страницу Application Overview.

SuiteCRM SSO Azure new application side window

1.2. Настройка приложения

В разделе Manage выберите Single sign-on.

SuiteCRM SSO Azure Application side menu

Из предложеных параметров выберите SAML.

SuiteCRM SSO Azure Application protocol select

В правом верхнем углу нажмите на иконку для изменения базовой конфигурации SAML.

SuiteCRM SSO Azure Application SAML configuration

SuiteCRM использует одинаковое значение для Entity ID, ACS URL и Sign On URL.

URL-адрес SuiteCRM должен быть прописан в следующем формате:

{CRM URL}/index.php?action=Login&module=Users

Например: https://demo.suiteondemand.com/index.php?action=Login&module=Users

  • Для Entity ID введите URL-адрес SuiteCRM, подготовленный на предыдущем шаге.

  • Для Reply URL (Assertion Consumer Service URL) введите URL-адрес SuiteCRM, подготовленный на предыдущем шаге.

  • Для Sign on URL (необязательный параметр) введите URL-адрес SuiteCRM, подготовленный на предыдущем шаге.

  • Убедитесь, что во всех трех полях присутствует один и тот же URL-адрес, затем нажмите Save.

1.3. Сохранение настроек для дальнейшего использования

Прокрутите страницу вниз до раздела SAML Certificates, загрузите сертификат (Base64) и сохраните его для дальнейшего использования.

Прокрутите страницу вниз и сохраните Login URL и Logout URL для дальнейшего использования.

SuiteCRM SSO Azure Application SAML settings

2. Добавление пользователей в приложение

Прежде чем пользователи смогут войти в SuiteCRM с помощью единого входа (SSO), их необходимо добавить в зарегистрированное приложение.

Пользователей можно добавлять индивидуально или в группах, в зависимости от того, как настроена служба Azure Active Directory.

В систему смогут войти только пользователи, добавленные в зарегистрированное приложение SuiteCRM SAML Authentication.

В только что зарегистрированном корпоративном приложении:

  1. В меню слева выберите Users and Groups.

SuiteCRM SSO Azure Application Users and Groups

В верхнем меню выберите add user/group.

Теперь вы можете назначать пользователей или группы для зарегистрированного приложения SuiteCRM SAML Authentication.

3. Настройка SAML в SuiteCRM

Прежде чем завершить настройку пользователей в SuiteCRM, вам необходимо включить SAML.
Как только этот шаг будет выполнен, пользователи SuiteCRM больше не смогут входить в систему обычным способом - необходимо использовать единый вход.

3.1. Включение SAML в SuiteCRM

Войдите в систему под учётной записью администратора.

В панели Администратора откройте раздел Управление паролями и включите SAML-аутентификацию:

SuiteCRM SSO Enable SAML

Пропишите следующие параметры:

Login URL

Вставьте значение Login URL, полученное в Azure.

SLO URL

Вставьте значение Logout URL, полученное в Azure.

Сертификат X.509

Вставьте содержимое сертификата Base64, полученного в Azure.

Нажмите на кнопку Сохранить.

3.2. Включение SAML для пользователей

После того как SuiteCRM настроен на использование SAML, вы можете настроить отдельных пользователей на использование SAML для входа в систему.

Этот шаг необходимо выполнить для каждого пользователя, который будет входить в систему с использованием единого входа.

  1. Создайте или отредактируйте существующего пользователя SuiteCRM, чтобы его имя соответствовало адресу электронной почты в Azure.

  2. Включите вход SAML для этого пользователя, перейдя в профиле пользователя на вкладку Дополнительно и отметив параметр SAML2Authenticate:

SuiteCRM SSO Users enable SAML

  1. Возможно, вы захотите настроить роли и группы пользователей, прежде чем пользователь впервые войдет в систему.

Content is available under GNU Free Documentation License 1.3 or later unless otherwise noted.