SSO

Матеріал з Planfix

Single Sign-On (SSO) — це механізм, який дозволяє користувачам входити в Planfix за допомогою корпоративного облікового запису. SSO спрощує процес авторизації та підвищує безпеку роботи в системі.

Переваги використання

  • Спрощення входу — користувачі використовують один обліковий запис для доступу до всіх корпоративних сервісів, включно з Planfix.
  • Підвищена безпека — вхід можливий лише через корпоративного провайдера з встановленими політиками безпеки.

Як підключити

  • Налаштування SSO проводить Керуючий акаунтом або Адміністратор.
  • Перейдіть в Керування акаунтом — Інтеграції — Single Sign-On.
  • Виберіть потрібного провайдера та активуйте його.
  • Додайте необхідні параметри в налаштуваннях.
  • Збережіть налаштування та виконайте тест авторизації.

Важливо: коректна робота SSO вимагає попереднього налаштування на боці провайдера.

Підтримувані провайдери

Поняття

SCIM-Provisioning — централізоване управління співробітниками. Це стандарт, який сам створює, оновлює та вимикає облікові записи в Planfix. Усі зміни надходять безпосередньо від SSO-провайдера.

  • Якщо співробітник уперше входить у Planfix через SSO і в нього ще немає облікового запису, система сама його створить. Усі дані підтягнуться із SSO-провайдера — нічого вручну заповнювати не потрібно.
  • Якщо співробітника вимикають (деактивують) в SSO, то його обліковий запис автоматично деактивується і в Planfix.
Увага, SCIM-Provisioning доступний у провайдерів Okta та Entra.


JIT-Provisioning — автоматичне створення облікового запису при першому вході.

  • Якщо співробітник уперше входить у Planfix через SSO і в нього ще немає облікового запису, система сама його створить. Усі дані підтягнуться із SSO-провайдера — нічого вручну заповнювати не потрібно.
  • Якщо співробітника вимикають (деактивують) і є лише JIT (SCIM не увімкнено), відбувається наступне:
    • Що відбувається: в Planfix нічого не змінюється автоматично. Обліковий запис залишається «активним».
    • Вхід: через SSO співробітник не увійде (його вимкнули в IdP — сервісі, який підтверджує особу співробітника).
      • Якщо Auth Only SSO = викл і дозволені інші способи входу, він може зайти альтернативним способом (логін/пароль тощо).
      • Якщо Auth Only SSO = вкл, вхід повністю закритий (але обліковий запис у Planfix усе ще числиться активним).
    • Підписка та місця: місце не звільняється автоматично.
    • Що повинен зробити адміністратор: вручну деактивувати співробітника в Planfix, щоб звільнити місце/ліцензію.
    • Дані: історія зберігається.

Підключення в акаунт з існуючими співробітниками

Під час підключення SSO в акаунт Planfix з існуючими співробітниками відбувається зіставлення за email:

  • За наявності SCIM — це відбудеться автоматично.
  • За JIT-Provisioning — у момент входу співробітника через SSO.

Важливо

  • При увімкненій опції Auth Only SSO (аутентифікація лише через SSO) співробітники можуть входити в акаунт лише через SSO.
    • Завжди діючі винятки (ці співробітники можуть використовувати стандартний вхід (логін/пароль) у будь-якому разі, навіть якщо їх домен потрапляє під обмеження):
      • Співробітники зі списку «Дозволені всі варіанти авторизації»
      • Керуючий акаунтом
    • При виборі типу «Тільки для заданих доменів»:
      • Обовʼязковий SSO застосовується лише до співробітників з email на вказаних доменах (за винятком тих, хто в списку вище).
      • Співробітники з іншими доменами можуть входити стандартним способом.
  • При створенні співробітника в Planfix за допомогою JIT Provisioning або через SCIM Provisioning, якщо в пакеті досягнуто ліміту співробітників, підписка буде автоматично розширена — у неї додадуться додаткові співробітники за рахунок зменшення загального оплаченого строку підписки акаунта.
  • Якщо співробітник деактивований через SCIM Provisioning, кількість оплачених додаткових місць у підписці автоматично зменшується.

Перейти