SSO-авторизация в Битрикс24 через Keycloak

В крупных компаниях сотрудники ежедневно работают с корпоративными порталами, CRM, ERP и другими внутренними сервисами. Если каждая система использует собственную авторизацию, пользователям приходится запоминать множество логинов и паролей, а ИТ-службе - поддерживать несколько контуров управления доступом.

Одним из способов решения этой задачи является внедрение Single Sign-On (SSO) - технологии единого входа. В этой статье расскажем, как специалисты веб-интегратора «Факт» реализовали SSO-авторизацию в Битрикс24 через Keycloak для крупной производственной компании.

К моменту старта проекта корпоративный портал уже использовался сотрудниками компании, однако существующая схема авторизации не соответствовала требованиям бизнеса и информационной безопасности.

Перед командой стояли следующие задачи:

• реализовать единый вход в корпоративный портал;

• централизовать управление учетными записями сотрудников;

• снизить количество отдельных учетных данных для пользователей;

• повысить уровень защиты корпоративных сервисов;

• обеспечить возможность подключения новых систем к единому контуру авторизации;

• сохранить привычные сценарии работы сотрудников.

Особое внимание уделялось тому, чтобы переход на новую схему авторизации не повлиял на текущие бизнес-процессы компании.

На первом этапе специалисты «Факт» провели аудит существующей схемы авторизации и рассмотрели возможность использования стандартных механизмов Битрикс24. Для большинства компаний штатной авторизации достаточно, однако в крупных организациях возникают дополнительные требования, которые выходят за рамки стандартного функционала.

Основные ограничения выглядели следующим образом:

• отсутствие единого центра управления пользователями;

• необходимость отдельного администрирования доступа;

• ограниченные возможности интеграции с корпоративными системами;

• сложности при внедрении единых политик безопасности;

• отсутствие полноценного сценария Single Sign-On.

Кроме того, заказчик уже использовал корпоративные инструменты управления идентификацией пользователей, которые необходимо было интегрировать с порталом.

Перед началом разработки были проанализированы возможные подходы к реализации единой авторизации и централизованного управления доступом.

Использование штатных возможностей Битрикс24

Базовый сценарий с минимальными затратами на внедрение и быстрым запуском.

Преимущества:

• оперативное внедрение без доработок;
• отсутствие необходимости в дополнительной инфраструктуре;

Недостатки:

• ограниченные возможности интеграции с внешними системами;
• отсутствие полноценной реализации SSO;
• низкая масштабируемость при росте числа сервисов;

Интеграция с корпоративным каталогом пользователей

Второй вариант предполагал использование существующей системы управления пользователями (например, Active Directory или LDAP). Такой подход позволял частично централизовать учетные записи и доступы, однако не обеспечивал полноценной единой точки аутентификации для всех корпоративных сервисов.

Ограничения подхода:

• отсутствие единого механизма SSO для разнородных систем;
• сложности при подключении внешних и облачных сервисов;
• ограниченные возможности управления политиками безопасности;

Использование Keycloak

По итогам анализа был выбран подход с внедрением Keycloak в качестве централизованной системы управления идентификацией и доступом (IAM). Данное решение позволило построить единый контур аутентификации для всех корпоративных сервисов, включая Битрикс24.

Ключевые преимущества решения:

• реализация полноценного Single Sign-On (SSO);
• централизованное управление пользователями и ролями;
• масштабируемая архитектура для подключения новых систем;
• гибкая настройка политик безопасности;
• поддержка современных протоколов авторизации;

Keycloak — это промышленная open-source платформа управления доступом, широко используемая в корпоративных ИТ-ландшафтах.

Поддерживаемые стандарты:

• OpenID Connect;
• OAuth 2.0;
• SAML;

Платформа также предоставляет возможности для внедрения многофакторной аутентификации (MFA), управления ролями и правами доступа, а также централизованной настройки политик безопасности. В рамках проекта Keycloak стал не только решением для интеграции с Битрикс24, но и базовым компонентом для построения единой системы управления доступом на уровне всей компании.

После выбора платформы была разработана архитектура интеграции. В новой схеме Keycloak отвечает за идентификацию пользователей и проверку учетных данных, а Битрикс24 использует его как внешний центр авторизации.

Несмотря на наличие готовых механизмов интеграции, проект требовал более гибкого подхода. Для реализации необходимой логики специалисты «Факт» разработали собственный модуль интеграции Битрикс24 и Keycloak. В рамках разработки были реализованы:

• поддержка OpenID Connect;

• обмен токенами авторизации;

• автоматическое сопоставление пользователей;

• журналирование событий безопасности;

• обработка ошибок авторизации;

• возможность дальнейшего масштабирования решения.

Отдельное внимание было уделено отказоустойчивости и безопасной передаче данных между системами.

После внедрения нового механизма процесс входа в систему выглядит следующим образом:

1. Пользователь открывает корпоративный портал.

2. Битрикс24 перенаправляет его в Keycloak.

3. Пользователь проходит аутентификацию.

4. Keycloak формирует токен доступа.

5. Битрикс24 получает подтверждение авторизации.

6. Пользователь автоматически входит в портал.

Для сотрудника процесс остается максимально простым и практически незаметным.

После запуска новой схемы авторизации компания получила не только более удобный механизм входа в корпоративный портал, но и основу для дальнейшего развития корпоративной ИТ-инфраструктуры.

Среди ключевых результатов проекта:

• Ускорение процесса авторизации. Пользователи получили возможность входить в Битрикс24 через единый контур авторизации без необходимости использовать отдельные учетные данные для корпоративного портала.

• Повышение уровня безопасности. Использование современных протоколов авторизации и возможность подключения многофакторной аутентификации позволили усилить защиту корпоративных данных и снизить риск несанкционированного доступа.

• Удобство для сотрудников. Единая система авторизации избавила пользователей от необходимости запоминать несколько логинов и паролей для разных корпоративных сервисов.

• Централизованное управление доступом. Администраторы получили единый инструмент для управления учетными записями и контроля прав доступа сотрудников.

• Готовность к масштабированию. Созданная архитектура позволяет подключать новые корпоративные системы и сервисы к единому контуру авторизации без существенной переработки существующего решения.
  
  

Решение подходит не только для корпоративных порталов. Аналогичный подход может использоваться для:

• B2B-платформ;
• личных кабинетов клиентов;
• корпоративных маркетплейсов;
• HRM-систем;
• интранет-порталов;
• систем электронного документооборота;
• внутренних веб-сервисов компании.

Интеграция Битрикс24 с Keycloak позволяет реализовать единую систему авторизации пользователей, повысить уровень информационной безопасности и упростить управление доступом к корпоративным сервисам.

Для компаний с развитой ИТ-инфраструктурой такой подход становится основой для построения масштабируемой цифровой экосистемы, в которой сотрудники получают удобный и безопасный доступ ко всем рабочим инструментам через единый контур авторизации.

Если вашей компании требуется внедрение SSO, интеграция Битрикс24 с корпоративными системами или разработка нестандартной функциональности для корпоративного портала, специалисты «Факт» помогут подобрать и реализовать решение с учетом требований бизнеса и существующей ИТ-инфраструктуры. Для таких задач мы используем не только готовые инструменты, но и разрабатываем собственные интеграционные модули под конкретные требования заказчика.