Это страница содержит описание для SuiteCRM 7.x. Описание для SuiteCRM 8.x. находится здесь.
SuiteCRM может использовать стороннего поставщика управления доступом, например Microsoft Azure Active Directory и протокол SAML для обеспечения аутентификации при едином входе. Вы можете использовать Azure AD для контроля доступа в SuiteCRM и автоматического входа в систему.
Мы рекомендуем использовать последнюю версию SuiteCRM 7.x, с последними улучшениями и исправлениями.
Для успешного входа в систему пользователь должен существовать как в Azure AD, так и в SuiteCRM.
Имена пользователей в SuiteCRM 7.x должны совпадать с адресом электронной почты в Azure. Если вы использовали обычные имена пользователей, их следует заранее изменить на соответствующие адреса электронной почты.
Прежде всего зарегистрируйте новое приложение в Azure. Это приложение определяет, каким образом Azure в качестве поставщика удостоверений (IDP) будет взаимодействовать с экземпляром SuiteCRM.
В результате вы получите необходимые данные и сертификат для настройки SuiteCRM.
Приложения SAML в Azure уникальны для каждого экземпляра системы, поскольку URL-адрес SuiteCRM проверяется в процессе входа. Если SAML необходим для тестового или рабочего окружения, то для каждого окружения потребуется новое приложение.
Войдите в Microsoft Azure и выберите службу Azure Active Directory.
В левом меню выберите Enterprise applications.
В верхнем меню выберите New Application.
В верхнем меню выберите Create your own application.
Введите описательное имя, например SuiteCRM SAML Authentication.
Выберите Integrate any other application you don’t find in the gallery (Non-gallery).
Нажмите Create, после чего вы попадете в на страницу Application Overview.
В разделе Manage выберите Single sign-on.
Из предложеных параметров выберите SAML.
В правом верхнем углу нажмите на иконку для изменения базовой конфигурации SAML.
SuiteCRM использует одинаковое значение для Entity ID, ACS URL и Sign On URL.
URL-адрес SuiteCRM должен быть прописан в следующем формате:
{CRM URL}/index.php?action=Login&module=Users
Например: https://demo.suiteondemand.com/index.php?action=Login&module=Users
Для Entity ID введите URL-адрес SuiteCRM, подготовленный на предыдущем шаге.
Для Reply URL (Assertion Consumer Service URL) введите URL-адрес SuiteCRM, подготовленный на предыдущем шаге.
Для Sign on URL (необязательный параметр) введите URL-адрес SuiteCRM, подготовленный на предыдущем шаге.
Убедитесь, что во всех трех полях присутствует один и тот же URL-адрес, затем нажмите Save.
Прокрутите страницу вниз до раздела SAML Certificates, загрузите сертификат (Base64) и сохраните его для дальнейшего использования.
Прокрутите страницу вниз и сохраните Login URL и Logout URL для дальнейшего использования.
Прежде чем пользователи смогут войти в SuiteCRM с помощью единого входа (SSO), их необходимо добавить в зарегистрированное приложение.
Пользователей можно добавлять индивидуально или в группах, в зависимости от того, как настроена служба Azure Active Directory.
В систему смогут войти только пользователи, добавленные в зарегистрированное приложение SuiteCRM SAML Authentication.
В только что зарегистрированном корпоративном приложении:
В меню слева выберите Users and Groups.
В верхнем меню выберите add user/group.
Теперь вы можете назначать пользователей или группы для зарегистрированного приложения SuiteCRM SAML Authentication.
Прежде чем завершить настройку пользователей в SuiteCRM, вам необходимо включить SAML.
Как только этот шаг будет выполнен, пользователи SuiteCRM больше не смогут входить в систему обычным способом - необходимо использовать единый вход.
Войдите в систему под учётной записью администратора.
В панели Администратора откройте раздел Управление паролями и включите SAML-аутентификацию:
Пропишите следующие параметры:
Вставьте значение Login URL, полученное в Azure.
Вставьте значение Logout URL, полученное в Azure.
Вставьте содержимое сертификата Base64, полученного в Azure.
Нажмите на кнопку Сохранить.
После того как SuiteCRM настроен на использование SAML, вы можете настроить отдельных пользователей на использование SAML для входа в систему.
Этот шаг необходимо выполнить для каждого пользователя, который будет входить в систему с использованием единого входа.
Создайте или отредактируйте существующего пользователя SuiteCRM, чтобы его имя соответствовало адресу электронной почты в Azure.
Включите вход SAML для этого пользователя, перейдя в профиле пользователя на вкладку Дополнительно и отметив параметр SAML2Authenticate:
Возможно, вы захотите настроить роли и группы пользователей, прежде чем пользователь впервые войдет в систему.
Content is available under GNU Free Documentation License 1.3 or later unless otherwise noted.