Интеграция Битрикс24 с Active Directory Federation Services (ADFS)

20.03.2018 14:53:00
20180320T145300Z
20190719T151701Z

В условиях развивающихся технологий, одним из важнейших вопросов остается безопасность информационных систем предприятия. Благодаря импортозамещению продукт компании 1С-Битрикс: “Битрикс24” становится все более востребованным в корпоративной среде. Его выбирают крупные российские компании, которым сертификации ФСТЭК для обеспечения безопасности недостаточно.


Ранее, традиционно, они размещали серверы Битрикса в DMZ-зоне, однако технологических особенностей самой платформы и необходимого для ее работы ПО ставится недостаточно. Этот подход нерекомендуемый и часто противоречит внутренним правилам и нормам службы безопасности предприятия.


Компания Microsoft как лидирующий поставщик программного комплекса предлагает свои варианты решения на базе WindowsServer 2012 R2 с использованием WebApplicationProxy. WAP предоставляет возможности, чтобы пользователи с любого устройства могли подключаться к приложениям, размещенным в корпоративной сети предприятия.


IT-отдел организации может опубликовать корпоративные приложения и, с помощью WAP, дать возможность конечным пользователям подключиться и работать с этими приложениями с собственных устройств. Тогда пользователь не будет ограничен компьютером, который выдан ему на работе и включен в домен.


d38dcd575c4244b1a107ed90d79bce4c.jpg


WAP всегда должна быть развернута на вашем сервере совместно с ADFS (службы федерации Active Directory).


В классической схеме Microsoft, при попытке доступа к корпоративному приложению извне, запрос будет поступать на WAP, который, в свою очередь, переадресует его на ADFS сервер. После этого пользователю будет предложено пройти аутентификацию.


Скриншот ниже демонстрирует этот процесс. Обратите внимание, что юзер обращается к приложению по одному адресу, однако в процессе получения доступа, он перенаправлен на ADFS сервер, чтобы аутентифицироваться.


c96c383408044d9fbfdb649f7b156b79.jpg


Совместное развертывание ADFS и WAP позволяет использовать различные особенности ADFS. Например, возможность единого входа (SingleSign-On), которая позволяет ввести свои учетные данные только один раз, а при следующих попытках подключения использовать логин и пароль будет уже не нужно.


Важно понимать, что предоставление доступа к внутренним приложениям с неизвестных устройств — источник большого риска. Совместное использование WAP и ADFS гарантирует, что только пользователи с устройствами, которые аутентифицированы и авторизованы, смогут получить доступ к корпоративным ресурсам.


Поскольку платформа 1С-Битрикс подразумевает возможность наличия на портале двух типов пользователей: внутренних (сотрудники) и внешних (экстранет), то вариант классической схемы работы WAP+ADFS, при условии обеспечения полных функциональных возможностей, невозможен. Но благодаря гибкости платформы есть возможность получить максимум от WAP+ADFS+Битрикс24.


Корректная работа WAP+ADFS+Битрикс24 возможна только при правильной настройке продукта как со стороны Битрикс24, так и со стороны ADFS. Наша компания, совместно с компанией ЗероБит, успешно реализовала такую связку и уже протестировала ее на реальном проекте.


Андрей Николаев

Старший разработчик
Все статьи