SSO: различия между версиями
Материал из Planfix
Artem (обсуждение | вклад) м (Artem переименовал страницу Single Sign-On (SSO) в Single Sign-On без оставления перенаправления) |
Artem (обсуждение | вклад) |
||
| (не показаны 22 промежуточные версии этого же участника) | |||
| Строка 8: | Строка 8: | ||
== Преимущества использования == | == Преимущества использования == | ||
*Упрощение входа | *'''Упрощение входа''' — пользователи используют одну учетную запись для доступа ко всем корпоративным сервисам, включая ПланФикс. | ||
*Повышенная безопасность | *'''Повышенная безопасность''' — вход возможен только через корпоративный провайдер с установленными политиками безопасности. | ||
== Как подключить == | == Как подключить == | ||
*Настройку SSO проводит [[Управляющий аккаунтом]]. | |||
*Перейдите в [[Аккаунт |Управление аккаунтом]] — Интеграции — Single Sign-On. | *Перейдите в [[Аккаунт |Управление аккаунтом]] — Интеграции — Single Sign-On. | ||
*Выберите нужного провайдера и активируйте его. | *Выберите нужного провайдера и активируйте его. | ||
| Строка 22: | Строка 22: | ||
== Поддерживаемые провайдеры == | == Поддерживаемые провайдеры == | ||
*[[Okta]] | *[[Okta]] | ||
*[[Microsoft Entra |Entra]] | |||
*[[Keycloak]] | *[[Keycloak]] | ||
*[[ADFS]] | |||
== Понятия == | |||
'''SCIM-Provisioning''' — централизованное управление сотрудниками. Это стандарт, который сам создаёт, обновляет и отключает учётные записи в ПланФиксе. Все изменения приходят напрямую от SSO-провайдера. | |||
*Если сотрудник впервые входит в ПланФикс через SSO и у него ещё нет учетной записи, система сама создаст её. Все данные подтянутся из SSO-провайдера — ничего вручную заполнять не нужно. | |||
*Если сотрудника отключают (деактивируют) в SSO, то его учетная запись автоматически деактивируется и в ПланФиксе. | |||
:Обратите внимание, SCIM-Provisioning доступен у провайдеров [[Okta]] и [[Microsoft Entra |Entra]]. | |||
'''JIT-Provisioning''' — автоматическое создание учетной записи при первом входе. | |||
*Если сотрудник впервые входит в ПланФикс через SSO и у него ещё нет учетной записи, система сама создаст её. Все данные подтянутся из SSO-провайдера — ничего вручную заполнять не нужно. | |||
*Если сотрудника отключают (деактивируют) и есть только JIT (SCIM не включён) происходит следующее: | |||
**'''Что происходит''': в ПланФиксе ничего не меняется автоматически. Учетная запись остаётся «активной». | |||
**'''Вход''': через SSO сотрудник не войдёт (его отключили в IdP — сервисе, который подтверждает личность сотрудника). | |||
***Если '''Auth Only SSO = выкл''' и разрешены другие способы входа, он может войти альтернативным способом (логин/пароль, и т.п.). | |||
***Если '''Auth Only SSO = вкл''', вход полностью закрыт (но учётная запись в ПланФиксе всё ещё числится активной). | |||
**'''Подписка и места:''' место не освобождается автоматически. | |||
**'''Что должен сделать администратор''': вручную деактивировать сотрудника в ПланФиксе, чтобы освободить место/лицензию. | |||
**'''Данные''': история сохраняется. | |||
== Важно == | |||
*При включённой настройке '''Auth Only SSO''' (Аутентификация только через SSO) сотрудники смогут входить в аккаунт ПланФикса только через SSO, за исключением тех, кому разрешены все способы авторизации. Управляющему аккаунтом доступны все способы авторизации, даже при включённой опции. | |||
*При создании сотрудника в ПланФиксе посредством '''JIT Provisioning''' или через '''SCIM Provisioning''', если в пакете достигнут лимит сотрудников, подписка будет автоматически расширена — в неё добавятся дополнительные сотрудники за счет уменьшения общего оплаченного срока подписки аккаунта. | |||
*Если сотрудник '''деактивирован через SCIM Provisioning''', количество оплаченных дополнительных мест в подписке автоматически уменьшается. | |||
== Перейти == | == Перейти == | ||
*[[Интеграции]] | *[[Интеграции]] | ||
Текущая версия от 11:19, 4 сентября 2025
Single Sign-On (SSO) — это механизм, позволяющий пользователям входить в ПланФикс с помощью корпоративной учетной записи. SSO упрощает процесс авторизации и повышает безопасность работы в системе.
Преимущества использования
- Упрощение входа — пользователи используют одну учетную запись для доступа ко всем корпоративным сервисам, включая ПланФикс.
- Повышенная безопасность — вход возможен только через корпоративный провайдер с установленными политиками безопасности.
Как подключить
- Настройку SSO проводит Управляющий аккаунтом.
- Перейдите в Управление аккаунтом — Интеграции — Single Sign-On.
- Выберите нужного провайдера и активируйте его.
- Добавьте необходимые параметры в настройках.
- Сохраните настройки и выполните тест авторизации.
Важно: корректная работа SSO требует предварительной настройки на стороне провайдера.
Поддерживаемые провайдеры
Понятия
SCIM-Provisioning — централизованное управление сотрудниками. Это стандарт, который сам создаёт, обновляет и отключает учётные записи в ПланФиксе. Все изменения приходят напрямую от SSO-провайдера.
- Если сотрудник впервые входит в ПланФикс через SSO и у него ещё нет учетной записи, система сама создаст её. Все данные подтянутся из SSO-провайдера — ничего вручную заполнять не нужно.
- Если сотрудника отключают (деактивируют) в SSO, то его учетная запись автоматически деактивируется и в ПланФиксе.
JIT-Provisioning — автоматическое создание учетной записи при первом входе.
- Если сотрудник впервые входит в ПланФикс через SSO и у него ещё нет учетной записи, система сама создаст её. Все данные подтянутся из SSO-провайдера — ничего вручную заполнять не нужно.
- Если сотрудника отключают (деактивируют) и есть только JIT (SCIM не включён) происходит следующее:
- Что происходит: в ПланФиксе ничего не меняется автоматически. Учетная запись остаётся «активной».
- Вход: через SSO сотрудник не войдёт (его отключили в IdP — сервисе, который подтверждает личность сотрудника).
- Если Auth Only SSO = выкл и разрешены другие способы входа, он может войти альтернативным способом (логин/пароль, и т.п.).
- Если Auth Only SSO = вкл, вход полностью закрыт (но учётная запись в ПланФиксе всё ещё числится активной).
- Подписка и места: место не освобождается автоматически.
- Что должен сделать администратор: вручную деактивировать сотрудника в ПланФиксе, чтобы освободить место/лицензию.
- Данные: история сохраняется.
Важно
- При включённой настройке Auth Only SSO (Аутентификация только через SSO) сотрудники смогут входить в аккаунт ПланФикса только через SSO, за исключением тех, кому разрешены все способы авторизации. Управляющему аккаунтом доступны все способы авторизации, даже при включённой опции.
- При создании сотрудника в ПланФиксе посредством JIT Provisioning или через SCIM Provisioning, если в пакете достигнут лимит сотрудников, подписка будет автоматически расширена — в неё добавятся дополнительные сотрудники за счет уменьшения общего оплаченного срока подписки аккаунта.
- Если сотрудник деактивирован через SCIM Provisioning, количество оплаченных дополнительных мест в подписке автоматически уменьшается.