Руководство по внедрению системы единого входа с SAML
Включать систему единого входа (SSO) в аккаунте могут владельцы и администраторы аккаунта, имеющие право настраивать расширенные параметры безопасности.
Пользователи аккаунтов Enterprise могут входить в Wrike с использованием корпоративных учетных данных, если в их аккаунте включена система единого входа на основе SAML (интеграция SSO/SAML). Система единого входа (SSO) — это общее название различных технологий, позволяющих пользователю получать доступ к различным приложениям из единой точки авторизации, которая управляется поставщиком удостоверений (IDP). Язык разметки утверждений безопасности (Security Assertion Markup Language, SAML 2.0) — это ведущий отраслевой стандарт для обмена данными аутентификации и авторизации, который Wrike поддерживает в качестве поставщика услуг. В ходе авторизации в Wrike или из Wrike не передаются никакие фактические пароли. Вместо этого Wrike получает оценку личности пользователя в формате SAML, действительную в течение ограниченного времени и подтвержденную цифровой подписью.
Совет
Можно включить зашифрованные утверждения SSO SAML, если это позволяет поставщик удостоверений. Если вы хотите включить эту опцию при настройке SAML SSO, обратитесь в нашу службу поддержки.
Дополнительную информацию о том, как работает система единого входа после ее включения, см. на нашей странице Система единого входа с SAML: руководство пользователя.
-
Управление пользователями в нужном масштабе для крупных организаций. Благодаря инициализации пользователей «точно в срок» вы можете сэкономить время, которое обычно тратится на настройку аккаунта Enterprise и методов управления. Wrike может создавать профиль пользователя в вашем аккаунте каждый раз, когда новый пользователь из вашего каталога входит в Wrike с помощью SSO, и для этого не потребуются никакие дополнительные приглашения. Сотрудники, удаленные из вашего корпоративного каталога, автоматически теряют доступ к корпоративной подписке на Wrike, но их задачи и записи активности остаются нетронутыми.
-
Единый формат имен пользователей. Управление идентификационными данными пользователей осуществляется из единого центра, и это значит, что имена пользователей в Wrike будут совпадать с именами в вашем каталоге.
-
Соблюдение внутренних правил безопасности. Ваши ИТ-администраторы смогут лучше контролировать аутентификацию. Пользователи не смогут самостоятельно изменять свои имена и адреса электронной почты. Любые политики безопасности, принятые внутри компании, также будут действительны в Wrike.
-
Избавление от необходимости запоминать слишком много паролей. После входа пользователя в корпоративную сеть он может открыть Wrike, не вводя другой набор учетных данных.
-
Простота доступа, возможная благодаря системе единого входа, помогает успешнее осваивать Wrike. Вы также можете отслеживать входы в систему и использовать собранные показатели SSO, чтобы следить за тем, как осуществляется внедрение Wrike.
После включения интеграции SSO/SAML пользователи, использующие систему единого входа, не смогут:
-
Изменять свои имена в Wrike. Имена будет присваивать ваш поставщик удостоверений.
-
Изменять свой адрес электронной почты из профиля Wrike. А также добавлять дополнительные адреса. Но администратор Wrike может сделать это за пользователя при условии, что пользователь может подтвердить новый адрес. Для этого необходимо войти в Wrike, используя исходный адрес электронной почты, а также нужен доступ к исходному почтовому ящику, чтобы нажать на ссылку для подтверждения. В других случаях, чтобы изменить адрес эл. почты пользователя, администратору придется обратиться в службу поддержки. Адрес электронной почты владельца аккаунта можно изменить только через обращение в службу поддержки.
-
Включать двухэтапную аутентификацию с помощью Wrike. Если вы хотите защитить свой аккаунт с помощью этой функции безопасности, ее должен настроить ваш поставщик удостоверений.
-
Входить в Wrike, используя пароль Wrike. Как правило, при попытке войти в Wrike в своем браузере пользователи будут перенаправлены на страницу входа под управлением вашего поставщика удостоверений. У некоторых интегрированных инструментов нет встроенной поддержки системы единого входа (например, у Backup Tool и устаревших приложений API-v2). Поэтому для авторизации пользователям системы единого входа необходимо будет генерировать одноразовые пароли.
Способ настройки системы единого входа зависит от того, как вы используете или планируете использовать Wrike.
-
Опциональный режим позволяет всем участникам аккаунта входить в систему с помощью пароля или учетных данных от поставщика удостоверений. Эта опция настроена по умолчанию и полезна для тестирования интеграции SSO. Мы рекомендуем начать с этого варианта, чтобы убедиться, что все работает правильно, прежде чем использовать SSO для всего аккаунта.
Примечание
В опциональном режиме страница login.wrike.com/login дает пользователям возможность входить в систему обычным образом, как если бы для аккаунта не была настроена система единого входа с SAML.
Чтобы войти с помощью системы единого входа на основе SAML, нужно использовать страницу login.wrike.com/sso.
-
Если в Wrike работают только сотрудники компании, систему единого входа можно включить для всех пользователей аккаунта.
-
Если в Wrike работают как сотрудники компании, так и сторонние пользователи, систему единого входа можно включить для пользователей в зависимости от их почтового домена.
Примечание
В этом случае перед включением системы единого входа с SAML нужно добавить и одобрить почтовые домены на вкладке «Безопасность» в разделе управления аккаунтом. Чтобы домены электронной почты можно было одобрить, они должны принадлежать компании.
Пользователи, чьи адреса находятся в одобренном домене электронной почты, смогут входить в Wrike с помощью системы единого входа, а пользователи, чьи адреса не находятся в одобренных доменах, будут входить в систему, вводя имя пользователя и пароль Wrike. Можно включить двухэтапную аутентификацию, чтобы обеспечить более безопасный вход для пользователей, адреса которых не относятся к одобренным доменам.
Если вы хотите добавить дополнительные одобренные домены после включения системы единого входа, администратор должен выполнить тот же описанный выше процесс.
В большинстве случаев процесс одобрения требует помощи со стороны отдела системных операций, поскольку необходимо обновить записи системы доменных имен (DNS) для доменов. Рекомендуется добавлять одобренные домены до включения SAML, чтобы их можно было использовать сразу же после включения.
Перед включением системы единого входа необходимо убедиться в следующем:
-
Адреса электронной почты пользователей, связанные с аккаунтом Wrike, совпадают с адресами электронной почты в каталоге компании.
-
Система единого входа еще не включена для аккаунта. Чтобы это проверить:
-
Нажмите на свое изображение.
-
Выберите команду Настройки в раскрывающемся меню.
-
Нажмите Безопасность на панели слева.
-
Прокрутите страницу Безопасность до раздела Система единого входа с SAML.
-
Убедитесь, что рядом с заголовком Система единого входа с SAML стоит отметка Отключено.
-
Кроме того, нужно проверить совместимость:
-
Убедитесь, что ваш поставщик удостоверений или SSO поддерживает федеративную аутентификацию с использованием SAML 2.0. Список совместимых решений SSO включает, помимо прочего, следующие: Okta, OneLogin, PingFederate, Microsoft AD FS и сервис идентификации Google Apps. Если вы пользуетесь службами управления идентификацией, которые предоставляет Okta, можете добавить Wrike в свой список приложений, выполнив эти инструкции.
-
Чтобы настроить систему единого входа с SAML для вашего аккаунта, узнайте стандартные параметры и опции, используемые Wrike, из нашего файла метаданных. Должны быть включены следующие атрибуты пользователя: firstName; lastName; NameID (им должен быть адрес электронной почты).
-
Нажмите на свое изображение.
-
Выберите команду Настройки в раскрывающемся меню.
-
Нажмите Безопасность на панели слева.
-
Прокрутите страницу Безопасность до раздела Система единого входа с SAML.
-
Нажмите кнопку Настроить SAML SSO.
-
В открывшемся окне укажите поставщика удостоверений с помощью метаданных Wrike и нажмите Продолжить.
-
Далее вам будет предложено указать метаданные от вашего поставщика. Можно выбрать один из следующих двух вариантов:
-
Введите ссылку, чтобы предоставить XML.
-
Введите XML в виде текста.
-
-
Нажмите Далее.
-
Убедитесь, что вы выбрали правильные параметры, и подтвердите свое решение, нажав Продолжить и включить SAML.
-
Вам будет отправлено электронное письмо с кодом, чтобы подтвердить включение системы единого входа.
-
Введите код из письма в открывшемся окне.
-
Нажмите Подтвердить.
-
(Необязательно) Проверьте новые настройки аккаунта.
-
Нажмите кнопку Сохранить настройки SAML.
Сразу после включения системы единого входа мы рекомендуем провести оценку принятия пользователями и тестирование различных сценариев применения. Дополнительную информацию о том, как работает система единого входа после ее включения, см. на нашей странице Система единого входа с SAML.
Примечание
Пользователям системы единого входа не предоставляется автоматический доступ к задачам, папкам и проектам. Дополнительную информацию о предоставлении доступа к задачам, папкам и проектам можно найти на наших справочных страницах. Кроме того, внутренние группы пользователей не будут автоматически перенесены в Wrike, но в Wrike можно легко создать такие же группы пользователей.
Примечание
Чтобы добавить одобренные почтовые домены, вам может потребоваться помощь отдела системных операций.
-
Нажмите на свое изображение в правом верхнем углу рабочего пространства Wrike.
-
Выберите команду Настройки в раскрывающемся меню.
-
Нажмите Безопасность на панели слева.
-
Пролистайте до раздела Одобренные домены.
-
Нажмите Добавить домен и укажите соответствующий домен электронной почты.
-
Нажмите Добавить.
-
Откроется окно с инструкцией по одобрению доменов.
-
Следуйте этой инструкции. Одобрение доменов может занять до 24 часов, и для этого может потребоваться помощь отдела системных операций.
-
Нажмите Сохранить изменения.
-
Письмо с кодом подтверждения будет отправлено на ваш основной адрес электронной почты.
-
Скопируйте код из письма и вставьте его в открывшемся окне.
-
Нажмите Подтвердить.
Крупные производственные подразделения, у которых есть несколько аккаунтов Wrike с системой единого входа на основе SAML и одним и тем же поставщиком удостоверений могут интегрировать все свои аккаунты в единую сеть. В результате пользователи смогут получать приглашения и присоединяться ко всем связанным аккаунтам Wrike, используя свои корпоративные учетные данные, полученные с помощью поставщика удостоверений.
Примечание. Для реализации этой схемы нужно выполнить несколько предварительных условий, и ее можно включить только с помощью службы поддержки Wrike. Обратитесь в службу поддержки Wrike для получения дополнительной информации.