Интеграция Битрикс24 с Active Directory Federation Services (ADFS)
В условиях развивающихся технологий, одним из важнейших вопросов остается безопасность информационных систем предприятия. Благодаря импортозамещению продукт компании 1С-Битрикс: “Битрикс24” становится все более востребованным в корпоративной среде. Его выбирают крупные российские компании, которым сертификации ФСТЭК для обеспечения безопасности недостаточно.
Ранее, традиционно, они размещали серверы Битрикса в DMZ-зоне, однако технологических особенностей самой платформы и необходимого для ее работы ПО ставится недостаточно. Этот подход нерекомендуемый и часто противоречит внутренним правилам и нормам службы безопасности предприятия.
Компания Microsoft как лидирующий поставщик программного комплекса предлагает свои варианты решения на базе WindowsServer 2012 R2 с использованием WebApplicationProxy. WAP предоставляет возможности, чтобы пользователи с любого устройства могли подключаться к приложениям, размещенным в корпоративной сети предприятия.
IT-отдел организации может опубликовать корпоративные приложения и, с помощью WAP, дать возможность конечным пользователям подключиться и работать с этими приложениями с собственных устройств. Тогда пользователь не будет ограничен компьютером, который выдан ему на работе и включен в домен.
WAP всегда должна быть развернута на вашем сервере совместно с ADFS (службы федерации Active Directory).
В классической схеме Microsoft, при попытке доступа к корпоративному приложению извне, запрос будет поступать на WAP, который, в свою очередь, переадресует его на ADFS сервер. После этого пользователю будет предложено пройти аутентификацию.
Скриншот ниже демонстрирует этот процесс. Обратите внимание, что юзер обращается к приложению по одному адресу, однако в процессе получения доступа, он перенаправлен на ADFS сервер, чтобы аутентифицироваться.
Совместное развертывание ADFS и WAP позволяет использовать различные особенности ADFS. Например, возможность единого входа (SingleSign-On), которая позволяет ввести свои учетные данные только один раз, а при следующих попытках подключения использовать логин и пароль будет уже не нужно.
Важно понимать, что предоставление доступа к внутренним приложениям с неизвестных устройств — источник большого риска. Совместное использование WAP и ADFS гарантирует, что только пользователи с устройствами, которые аутентифицированы и авторизованы, смогут получить доступ к корпоративным ресурсам.
Поскольку платформа 1С-Битрикс подразумевает возможность наличия на портале двух типов пользователей: внутренних (сотрудники) и внешних (экстранет), то вариант классической схемы работы WAP+ADFS, при условии обеспечения полных функциональных возможностей, невозможен. Но благодаря гибкости платформы есть возможность получить максимум от WAP+ADFS+Битрикс24.
Корректная работа WAP+ADFS+Битрикс24 возможна только при правильной настройке продукта как со стороны Битрикс24, так и со стороны ADFS. Наша компания, совместно с компанией ЗероБит, успешно реализовала такую связку и уже протестировала ее на реальном проекте.