Использование Microsoft Entra ID в качестве поставщика единого входа

Важно

При использовании технологии единого входа (SSO) необходимо создать учетные записи пользователей в системе Документерра для каждого пользователя SSO, который авторизуется в стороннем сервисе. Это необходимо для того, чтобы система Документерра могла применять определенные права доступа к авторизованному пользователю. Эти права доступа настраиваются в профиле пользователя Документерры. REST API Документерры можно использовать для массового создания пользователей или для создания нового пользователя Документерры каждый раз, когда с вашей стороны создается новый пользователь приложения.

Учётные записи авторизованных читателей могут создаваться автоматически при их первом входе через единый вход (SSO). Функционал доступен как часть аддона Корпоративная безопасность, и для его включения напишите нам в службу поддержки.


Поставщик сервиса единого входа Microsoft Entra ID позволяет пользователям входить на портал в системе Документерра с помощью учетных записей Microsoft Entra ID. Можно создать однотенантный портал приложения (single-tenant), предоставив доступ только пользователям из конкретного тенанта Microsoft Entra ID. Также возможно создать мультитенантный портал, который позволяет работать с пользователями из любых клиентов (тенантов) Microsoft Entra ID. 

Поддерживаются только учетные записи Microsoft Entra ID (рабочие или учебные). Личные учетные записи Microsoft не поддерживаются.

  • Откройте портал Azure и перейдите в Microsoft Entra ID
    Выберите Microsoft Entra ID
  • Нажмите кнопку App registrations (Регистрация приложений) в разделе Manage (Управление).
    Регистрация приложений
  • Нажмите на ссылку New registration (Новая регистрация).
    Новая регистрация 
  • На экране Register an application (Регистрация приложения) укажите следующие параметры:
    • Name (Имя приложения) — введите название вашего приложения.
    • Supported account types (Поддерживаемые типы учётных записей) — выберите однотенантный (Single tenant) или мультитенантный (Multitenant) вариант.
    • Redirect URI (URI перенаправления):
      • Тип приложения — выберите Web (Веб).
      • URL-адрес — укажите https://<YOU_PORTAL_NAME>.documenterra.net/oauth2/.
  • Нажмите Register (Зарегистрировать), чтобы продолжить.
    Регистрация приложения.
  • Приложение добавлено. Теперь необходимо рассмотреть процедуру в подробностях. Если виджет приложения не открывается автоматически, щелкните имя приложения на экране App registrations → All applications (Регистрация приложений → Все приложения).
    Выберите приложение.
  • В виджете приложения найдите следующие поля:
    • Application (client) ID (Идентификатор приложения (клиент)) — это идентификатор клиента, необходимый для настройки поставщика OpenID Connect в системе Документерра.
    • Directory (tenant) ID (Идентификатор каталога (клиент)) — это идентификатор тенанта, который также потребуется для дальнейшей настройки.

    Скопируйте значения этих полей и сохраните их для последующего использования.
    ID клиента и тенанта.

  • Перейдите на вкладку Certificates & secrets (Сертификаты и секреты) в разделе Manage (Управление), нажмите New client secret (Новый секрет клиента), укажите имя секрета, выберите срок его действия и нажмите Add (Добавить), чтобы сгенерировать значение. Скопируйте полученную строку и сохраните её для дальнейшей настройки приложения.
    Секрет клиента.
    Важно
    Это единственный раз, когда вы сможете увидеть секрет клиента на портале Azure.
  • Теперь откройте страницу параметров единого входа на портале в системе Документерра, перейдя в раздел НастройкиБезопасностьЕдиный вход. Выберите в списке провайдер Azure.
    Единый вход в Документерре.
  • Заполните соответствующие поля клиента Azure в системе Документерра значениями из Azure. Например, для поля Tenant используйте идентификатор тенанта или доменное имя. Если вы хотите, чтобы пользователи из нескольких тенантов имели доступ к порталу, установите галочку в чекбоксе Multi-tenant. После этого включите подключение и сохраните изменения.
    Настройки единого входа

Теперь можно войти на портал с помощью учетных записей Microsoft Entra ID. Для того чтобы пользователь мог войти на портал, адрес электронной почты его учетной записи Entra ID должен совпадать с адресом соответствующей учетной записи в системе Документерра.

Войти с помощью Azure.

При первом входе на портал с учетной записью Microsoft Entra ID вам будет предложено подтвердить запрос портала Документерра на получение разрешений для чтения профиля пользователя Microsoft Entra ID.

Запрошенные разрешения

Вы можете обязать пользователей входить в систему с помощью учетных записей Microsoft Entra ID, выбрав подключение Azure в поле Авторизация через:

Настройка, чтобы обязать пользователей входить на портал через Azure.

Даже если вы указали Azure как способ входа по умолчанию, в портал Документерры всё еще можно войти, используя собственные учетные данные (учетная запись Документерры). Для этого нужно перейти по ссылке для входа с особым параметром no-sso: https://<YourPortalName>.documenterra.net/login/?error=no&no-sso=true