Представьте ситуацию: ваш новый менеджер приходит на работу и получает доступ к десятку корпоративных систем — почта, таск-трекер, корпоративный портал, 1С, CRM... И к каждой системе — отдельный логин и пароль. Через неделю половина этих паролей забыта, а IT-отдел завален заявками на сброс. Знакомо?
Именно для решения этой проблемы придумали технологию единого входа — SSO (Single Sign-On). Суть проста: сотрудник авторизуется один раз (например, в корпоративном Active Directory), и все остальные системы автоматически «узнают» его без повторного ввода пароля.
Что даёт SSO на практике
Вот что реально меняется после внедрения SSO:
- Единый вход — один логин открывает доступ ко всем системам компании
- Реальное удобство — сотрудники перестают путаться в паролях и тратить время на их восстановление
- Централизованный контроль — служба безопасности видит, кто и когда входил в какую систему
- Полный аудит — все события авторизации фиксируются в едином журнале
По нашему опыту, после внедрения SSO количество обращений в техподдержку по вопросам паролей снижается на 60-70%.
Какой протокол SSO выбрать
На рынке существует несколько стандартов для реализации единого входа. У каждого — свои сильные стороны и типичные сценарии применения:
- SAML 2.0 — проверенный временем корпоративный стандарт. Отлично работает с Azure AD, Okta, OneLogin. Если у вас классическая enterprise-инфраструктура — это ваш выбор
- OAuth 2.0 / OpenID Connect — более современный и гибкий протокол. Идеален для интеграции с Google Workspace, а также для мобильных приложений и микросервисной архитектуры
- Kerberos — «родной» протокол для Windows-среды. Если все ваши сотрудники работают на доменных компьютерах — вход в CRM будет полностью бесшовным, даже окно авторизации не появится
Хорошая новость: CRM AI поддерживает все три протокола, поэтому вы не ограничены в выборе и можете использовать тот, который уже внедрён в вашей компании.
Нужна помощь с настройкой SSO?
Наши инженеры помогут интегрировать CRM AI с Azure AD, Okta, Google Workspace, Keycloak или любым другим провайдером идентификации.
Получить консультациюLDAP и Active Directory: синхронизация «под капотом»
SSO решает вопрос авторизации, но есть ещё один важный аспект — управление учётными записями. Ведь кто-то должен создать пользователя в CRM, назначить ему права, а при увольнении — заблокировать доступ.
Здесь на помощь приходит интеграция с LDAP (или Active Directory в Windows-среде). Это протокол, который позволяет CRM-системе «видеть» корпоративный справочник пользователей и синхронизироваться с ним автоматически.
Что это даёт на практике:
- Автоматическое создание аккаунтов — новый сотрудник появился в AD? Через несколько минут у него уже есть аккаунт в CRM
- Синхронизация прав доступа — состоит в группе «Отдел продаж» в AD? Получает соответствующую роль в CRM автоматически
- Мгновенная блокировка при увольнении — HR заблокировал учётку в AD, и доступ в CRM закрывается тут же. Никаких «забытых» аккаунтов
- Оргструктура из AD — иерархия подчинения, отделы, руководители — всё подтягивается автоматически
Особенно это важно для компаний, где соблюдение политик информационной безопасности — не пустой звук. Аудиторы очень любят, когда доступ в системы управляется централизованно.
Почему IT-отдел скажет вам спасибо
Давайте честно: именно системные администраторы чаще всего страдают от хаоса с учётными записями. Вот что меняется после внедрения SSO и LDAP-интеграции:
- Заявки на сброс пароля практически исчезают — пользователи помнят один пароль от домена
- Управление доступом сосредоточено в одном месте — не нужно обходить десяток систем
- Политики безопасности применяются автоматически — сложность пароля, срок действия, блокировка после неудачных попыток
- Онбординг новых сотрудников занимает минуты, а не часы — аккаунты создаются сами
Один наш клиент (IT-директор производственной компании на 500+ человек) как-то сказал: «После внедрения SSO я наконец-то перестал получать звонки в отпуске с просьбой срочно сбросить пароль главбуху».
Пошаговая настройка SAML с Azure AD
Рассмотрим самый популярный сценарий — интеграцию CRM AI с Microsoft Azure Active Directory через протокол SAML 2.0. Весь процесс занимает около 15-20 минут:
- Шаг 1: Зайдите в Azure Portal и создайте новое Enterprise Application. Выберите «Non-gallery application» и дайте ему понятное имя, например «CRM AI Production»
- Шаг 2: Перейдите в раздел Single Sign-On, выберите SAML и скопируйте Federation Metadata XML — это ваши метаданные Identity Provider
- Шаг 3: В админ-панели CRM AI откройте раздел «Безопасность» → «SSO» и вставьте скопированные метаданные. Система автоматически распарсит URL-ы и сертификаты
- Шаг 4: Настройте маппинг атрибутов — укажите, какие поля из Azure AD соответствуют полям в CRM (email, имя, отдел, должность)
- Шаг 5: Назначьте пользователей или группы в Azure и протестируйте вход. Если всё настроено правильно — вы увидите автоматический редирект и вход без ввода пароля
Если что-то пошло не так — в CRM AI есть подробный лог SAML-запросов, который поможет найти проблему. Чаще всего это несовпадение URL-ов или ошибки в маппинге атрибутов.
Дополнительные меры безопасности
SSO — это удобно, но возникает резонный вопрос: а не становится ли единый вход «единой точкой отказа»? Если злоумышленник получит доступ к корпоративной учётке — он попадёт сразу во все системы!
Именно поэтому SSO всегда внедряют в связке с дополнительными мерами защиты:
- Многофакторная аутентификация (MFA) — помимо пароля требуется подтверждение через SMS, приложение или аппаратный ключ. Даже украденный пароль становится бесполезным
- Условный доступ (Conditional Access) — можно настроить правила вроде «вход в CRM только с корпоративных устройств» или «при входе из другой страны — требовать дополнительное подтверждение»
- Автоматический выход (Session Timeout) — если пользователь не работает в системе 30 минут, сессия завершается. Забытый открытым ноутбук в кафе не станет проблемой
- IP-фильтрация — доступ в CRM только из офисной сети или через VPN. Особенно актуально для компаний с чувствительными данными
В CRM AI все эти настройки доступны из коробки и легко комбинируются между собой. Например, можно разрешить вход без MFA из офиса, но требовать второй фактор при удалённом подключении.
Частые вопросы при внедрении
За время работы с корпоративными клиентами мы собрали типичные вопросы, которые возникают при внедрении SSO:
«А что если IdP недоступен?»
Хороший вопрос. В CRM AI предусмотрен резервный вход для администраторов по локальному паролю. Плюс можно настроить уведомления о недоступности IdP.
«Можно ли оставить вход по паролю для отдельных пользователей?»
Да. Например, для внешних подрядчиков, у которых нет корпоративной учётки, можно оставить классическую авторизацию.
«Как мигрировать существующих пользователей?»
При первом входе через SSO система автоматически связывает существующий аккаунт по email. Все данные и настройки сохраняются.
Готовы настроить корпоративную авторизацию?
Наша команда поможет интегрировать CRM AI с вашей инфраструктурой — от простого Azure AD до сложных сценариев с несколькими IdP.
Обсудить внедрениеВ сухом остатке
SSO и LDAP — это про удобство и порядок. Сотрудники забывают про десяток паролей, IT-отдел управляет доступами в одном месте, а бизнес получает соответствие требованиям регуляторов без лишней головной боли.
CRM AI изначально проектировалась с учётом корпоративных требований к безопасности. Поддержка SAML, OAuth, Kerberos, интеграция с Active Directory, гибкие политики доступа — всё это доступно из коробки и настраивается за считанные минуты.
Читайте также
Если вы интересуетесь техническими аспектами интеграции CRM-систем, вам могут быть полезны эти материалы: