Настройка SSO (единого входа) для Битрикс24
Сотрудник приходит утром на работу, логинится в Windows, открывает почту — ещё один пароль, заходит в Jira — третий пароль, потом Битрикс24 — четвёртый. Пароли забываются, сбрасываются, записываются на стикерах. IT-отдел тратит время на сброс паролей вместо полезной работы. SSO (Single Sign-On) решает проблему: один вход — доступ ко всем системам. Сотрудник авторизуется через корпоративный Identity Provider, а Битрикс24 принимает эту авторизацию без собственного логина/пароля.
Протокол SAML 2.0
Битрикс24 поддерживает SSO через SAML 2.0 — стандартный протокол федеративной аутентификации. Схема работы:
- Пользователь открывает Битрикс24.
- Б24 перенаправляет на Identity Provider (IdP) — Azure AD, Keycloak, ADFS.
- Пользователь аутентифицируется на IdP (или уже аутентифицирован через Kerberos).
- IdP возвращает SAML-assertion — подписанный XML-документ с данными пользователя.
- Б24 проверяет подпись, извлекает атрибуты, создаёт или обновляет сессию.
Для облачного Б24 SAML SSO доступен на тарифах Профессиональный и Энтерпрайз. Для коробки — через модуль SSO.
Настройка на стороне Identity Provider
Независимо от конкретного IdP, нужно зарегистрировать Битрикс24 как Service Provider (SP):
| Параметр SP | Значение |
|---|---|
| Entity ID | https://your-domain.bitrix24.by |
| ACS URL | https://your-domain.bitrix24.by/bitrix/tools/saml/acs.php |
| SLS URL | https://your-domain.bitrix24.by/bitrix/tools/saml/sls.php |
| NameID Format | urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Azure AD — регистрация Enterprise Application, настройка SAML-конфигурации, загрузка Federation Metadata XML. Claim rules: user.mail → NameID, user.displayname → Name, user.department → Department.
Keycloak — создание клиента с протоколом SAML, указание Valid Redirect URIs, настройка mappers для атрибутов. Keycloak удобен для компаний, которые хотят держать IdP на своём сервере.
ADFS — добавление Relying Party Trust, настройка Claim Issuance Policy. Для ADFS типична ситуация, когда сертификат подписи истекает — нужно следить за сроком и обновлять в настройках Б24.
Обмен сертификатами
SAML работает на доверии между SP и IdP, подтверждённом сертификатами:
- Сертификат IdP — загружается в настройки SSO Битрикс24. Б24 использует его для проверки подписи SAML-assertions. При ротации сертификата на IdP нужно обновить его в Б24, иначе авторизация сломается.
- Сертификат SP (опционально) — если IdP требует подписанные AuthnRequest. Генерируется в настройках Б24 и загружается в IdP.
Рекомендация: при ротации сертификата на IdP поддерживать оба сертификата (старый и новый) в течение переходного периода.
Маппинг атрибутов пользователя
SAML-assertion содержит атрибуты пользователя. Б24 извлекает их и заполняет профиль:
- NameID (email) → логин пользователя в Б24
- FirstName / LastName → имя и фамилия
- Department → отдел (при наличии маппинга на структуру Б24)
- Groups → группы и роли (для автоматического назначения прав)
Если пользователя с таким email нет в Б24 — он создаётся автоматически при первом входе (провижининг через SSO). Это настраивается: можно разрешить автосоздание или требовать предварительную регистрацию.
Что настраиваем
- Регистрация Битрикс24 как Service Provider в корпоративном IdP
- Настройка SAML 2.0 на стороне Azure AD, Keycloak или ADFS
- Обмен сертификатами и настройка доверия между SP и IdP
- Маппинг атрибутов: email, имя, отдел, группы
- Автоматический провижининг пользователей при первом SSO-входе
- Тестирование и отладка SAML-потока, диагностика ошибок авторизации