Интеграция Битрикс24 с Active Directory Federation Services (ADFS)

20.03.2018 14:53:00
20180320T145300Z
20180320T150306Z

В условиях стремительно развивающихся технологий, одним из важнейших вопросов является и вопрос безопасности информационных систем предприятия. Благодаря импортозамещению продукт компании 1С-Битрикс: “Битрикс24” является все более востребованным в корпоративной среде. Все чаще на Битрикс24 обращают внимание большие средние и крупные российские компании и уже одной сертификации ФСТЭК (https://www.1c-bitrix.ru/products/certified/), для обеспечения безопасности, им уже недостаточно.


Технологический стек таких компаний достаточно разнообразен и ранее традиционным подходом являлось размещение сервера Битрикса в DMZ-зоне, однако технологических особенностей самой платформы и необходимого для ее работы программного обеспечения ставиться недостаточно. Данный подход не является рекомендуемым и очень часто противоречит внутренним правилам и нормам службы безопасности предприятия.ъ


Компания Microsoft, как лидирующий поставщик программного комплекса предлагает свои варианты решения на базе WindowsServer 2012 R2с использованием WebApplicationProxy (WAP) WAP предоставляет различные возможности для того, чтобы пользователи могли с любого устройства подключаться к приложениям, размещенным в корпоративной сети предприятия.


IT-отдел организации может опубликовать корпоративные приложения и с помощью WAP предоставить конечным пользователям возможность подключиться и работать с этими приложениями с их собственных устройств. Таким образом, пользователь при работе с внутренними приложениями не ограничен компьютером, который выдан ему на работе и включен в домен. Теперь пользователь может использовать свой домашний компьютер, планшет или смартфон.


d38dcd575c4244b1a107ed90d79bce4c.jpg


WAP всегда должна быть развернута на вашем сервере совместно с ActiveDirectoryFederationServices (AD FS, службы федерации ActiveDirectory).


В классической схеме Microsoft, при попытке доступа к корпоративному приложению извне, запрос будет поступать на WAP, который, в свою очередь, переадресует его на ADFS сервер. После этого, пользователю будет предложено пройти процесс аутентификации. Скриншот ниже демонстрирует этот процесс. Обратите внимание, что пользователь обращается к приложению по определенному адресу, однако в процессе получения доступа, он переадресован на ADFS сервер для того, чтобы аутентифицироваться.


c96c383408044d9fbfdb649f7b156b79.jpg

Совместное развертывание ADFS и WAP позволяет использовать различные особенности AD FS, например, возможность единого входа (SingleSign-On). Использование возможности единого входа позволяет пользователю ввести свои учетные данные только один раз, а при следующих попытках подключения вводить логин и пароль пользователю не будет нужно. Важно понимать, что предоставление доступа к внутренним приложениям с неизвестных устройств является источником большого риска. Совместное использование WAP и AD FS для аутентификации и авторизации гарантируют, что только пользователи с устройствами, которые также аутентифицированы и авторизованы могут получить доступ к корпоративным ресурсам.


Поскольку платформа 1С-Битрикс, подразумевает возможность наличия на портале двух типов пользователей: внутренних (сотрудники) и внешних (экстранет), то вариант классической схемы работы связки WAP+ADFS, при условии обеспечения полных функциональных возможностей невозможен в принципе, однако ввиду гибкости платформы, имеется возможность получить максимум от связки WAP+ADFS+Битрикс24.


Корректная работа связки WAP+ADFS+Битрикс24 возможна только при правильной настройке продукта как со стороны Битрикс24, так и со стороны ADFS. Наша компания, совместно с компанией ЗероБит успешно реализовала связку WAP+ADFS+Битрикс24 и уже протестировала ее на реальном проекте.


Если у вас есть потребность в синхронизации связки ADFS и Битрикс24, мы с удовольствием поможем решить данную задачу, обращайтесь!

Андрей Николаев

Старший разработчик
Все статьи