Microsoft Active Directory Single Sign-on (OAuth | SAML2)

Single Sign-On (SSO) — це технологія єдиного входу, яка суттєво поліпшує безпеку та дозволяє економити час на управління користувачами в різних системах та застосунках, які використовують різні команди компанії.

Функціонал «SSO» підключається окремо.
Для розрахунку та підключення можна звернутися за контактами - hurma.work/contacts

Можливість керувати цією опцією за замовчуванням доступна користувачам з ролями "Адміністратор" та "HR".

Переваги використання

1. Економія часу: SSO дозволяє скоротити час, витрачений на вхід в систему, оскільки користувачі можуть отримати доступ до багатьох додатків та сервісів за допомогою єдиного облікового запису без необхідності багаторазового введення облікових даних.

2. Безпека: Однією з основних проблем є повторне використання однакових паролів в різних системах, що збільшує ризик витоку даних. SSO дозволяє краще контролювати доступ до систем та зменшує ймовірність втрати інформації через слабкі паролі або інші вразливості в системі аутентифікації.

3. Покращена безпека та управління доступом: При використанні SSO існує більш централізоване управління доступом до ресурсів, що полегшує адміністрування та підвищує безпеку системи.

Microsoft Entra (OAuth)

Підключення в HURMA (OAuth)

Активація опції відбувається в розділі "Налаштування" - "SSO".

Для активації потрібно обрати варіант "Microsoft Entra" та заповнити відповідні поля (взяті з порталу Microsoft Entra) - Entra tenant ID, Entra client ID, Entra client secret, Entra redirect URLта натиснути на кнопку "Зберегти".

Після цього користувачам системи буде доступна авторизація за допомогою SSO на сторінці логіну.

Підключення в Microsoft Entra (OAuth)

Для підключення опції на порталі Microsoft Entra, потрібно перейти в розділ "App registrations" та натиснути на "New registrations".

Після цього потрібно:

1. в блоці "Supported account types" обрати хто може використовувати цей додаток, в залежності від правил вашої компанії;

2. в блоці "Redirect URI (optional)" обрати "Web" та вказати інформацію з поля "Entra redirect URL" з HURMA

3. натиснути на кнопку "Register".

Після того, як ми створили окремий додаток, нам потрібно надати HURMA дозвіл на його використання.

Для цього потрібно:

1. перейти в "API permissions";

2. натиснути на "Add permission" та обрати пункт "Microsoft Graph" -> "Delegated permissions"

3. в списку нам потрібно обрати пункти "email", "openid", "profile", "User.Read", "User.Read.All", "User.ReadBasic.All";

4. натиснути на кнопку "Add permissions".

Наступним кроком потрібно перейти в розділ "Certificates & secrets", відкрити вкладку "Client secrets" та провести наступні кроки:

1. натиснути на кнопку "New client secret";

2. заповнити поля "Description" та "Expires" та натиснути "Add";

3. скопіювати значення з поля "Value" та додати в поле Entra client secret в HURMA;

4. перейти на сторінку "Overview";

5. скопіювати значення з поля "Directory (tenant) ID" та додати в поле Entra tenant ID в HURMA;

6. скопіювати значення з поля "Application (client) ID" та додати в поле Entra client ID в HURMA;

7. натиснути на кнопку "Зберегти", після чого відобразиться повідомлення "SSO підключено".

Microsoft Entra (SAML2)

Підключення в HURMA (SAML2)

Активація опції відбувається в розділі "Налаштування" - "SSO".

Для активації потрібно обрати один з варіантів:

• "SAML2" та заповнити відповідні поля (взяті з порталу Microsoft Enta) - Metadata Url або Metadata XML, далі Callback method та натиснути на кнопку "Зберегти";

• "SAML2 (Custom)" та заповнити відповідні поля (взяті з порталу Microsoft Entra) - Login URL, Identifier, завантажити сертифікат, Callback method та натиснути на кнопку "Зберегти".

Після цього користувачам системи буде доступна авторизація за допомогою SSO на сторінці логіну.

Підключення в Microsoft Entra (SAML2)

Для підключення опції на порталі Microsoft Entra, потрібно перейти в розділ "Enterprise applications" та натиснути на "New registrations".

Після цього потрібно:

1. натиснути "Create your own application";

2. ввести назву нового додатку, наприклад, "HURMA", обрати "Integrate any other application you don't find in the gallery (Non-gallery)" та зберегти;

3. після цього на сторінці "Overview" потрібно обрати "Single sign-on" та "SAML";

4. на наступній сторінці потрібно перейти в режим редагування блоку №1;

5. у формі додаємо інформацію до полів "Identifier (Entity ID)", "Reply URL (Assertion Consumer Service URL)" та "Sign on URL", використовуючи дані з одноіменних полів з системи HURMA, та зберігаємо;

6. наступним кроком потрібно перейти в режим редагування блоку №2;

7. після чого у формі встановити вказані відповідності в блоці "Additional claims";

• email - user.userprincipalname

• first_name - user.givenname

• user.name - user.userprincipalname

• second_name - user.surname

• phone - user.mobilephone

• phone_second - user.telephonenumber

• display_name - user.displayname

8. наступним кроком потрібно та налаштувати список користувачів, які будуть мати доступ до цього додатку, використовуючи інструкцію нижче з п. "Надання обмеженому списку користувачів доступу до HURMA";

9. після цього повертаємось на сторінку "SAML-based Sign-on";

10. останнім кроком виконуємо підключення в HURMA, в залежності від обраної метадати чи способу.

URL

На сторінці "SAML-based Sign-on" в Microsoft Entra копіюємо значення з поля "App Federation Metadata Url" та додаємо в HURMA в поле "Metadata Url", зберігаємо зміни.

XML

На сторінці "SAML-based Sign-on" в Microsoft Entra завантажуємо файл з поля "Federation Metadata XML" та завантажуємо в HURMA, зберігаємо зміни.

Custom

На сторінці "SAML-based Sign-on" в Microsoft Entra копіюємо значення з полів "Login URL" та "Microsoft Entra Identifier" і додаємо в HURMA в поля "Login URL" та "Identifier".

Останнім кроком потрібно завантажити файл з поля "Certificate (Base64)" та додати до HURMA, після цього зберегти.

Авторизація в HURMA

Після підключення SSO і переходу користувачів на сторінку логіну, їм буде доступна авторизація тільки за допомогою SSO.

Якщо користувач, який авторизовується в HURMA, вже існуючий співробітник - його профіль в HURMA не змінюється, при цьому акаунт у HURMA зв'язується з користувачем Microsoft.

Якщо користувач, який авторизовується в HURMA, є новим співробітником і його в системі ще не існувало - в HURMA створюється нова картка з роллю "Співробітник".

Надання обмеженому списку користувачів доступу до HURMA

Щоб обмежити доступ до додатку, потрібно виконати наступні кроки:

1. перейти в Microsoft Entra -> Enterprise applications;

2. обрати потрібний додаток зі списку;

3. відкрити в меню пункт "Properties" та активувати пункт "Assignment required?"

4. додати користувачів або групи користувачів, які будуть мати доступ до додатку, ви можете на цій сторінці ж, в пункті "Users and groups"

Звільнення/видалення користувачів

Якщо в HURMA звільнити або видалити співробітника, проте залишити його активним в Active Directory, при його авторизації створюється нова картка з роллю "Співробітник".

Якщо в Active Directory у користувача не буде доступу до додатку HURMA, проте залишити його картку в системі HURMA, при його авторизації він отримає помилку про те, що доступ до системи заборонено.