Versions Compared

Version Old Version 3 New Version 4
Changes made by

Aleksandr Chuchko

Vitalii Kovalyshyn

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

В данном руководстве описан процесс настройки интеграции Webitel с Microsoft Entra Domain Services (раньше Azure Active Directory (Azure AD).

Table of Contents

1. Синхронизация пользователей (automatic user provisioning) с помощью LDAP

Webitel поддерживает автоматическое создание, обновление и удаление пользователей посредством LDAP протокола. Для корректной работы пользователей с Azure AD Microsoft Entra Domain Services необходимо настроить синхронизацию пользователей с маппингом полей, где будет указано:

  1. В какие Роли входит пользователь;
  2. Лицензии на какие продукты необходимо назначить;
  3. Автоматическое создание SIP устройств;
  4. Автоматическое создание оператора и назначение компетенций;
  5. Другое.

...

Drawio
mVer2
simple0
zoom1
inComment0
custContentId56131679
pageId21310890
diagramDisplayNameUntitled Diagram-1708082689995.drawio
lbox1
contentVer2
revision2
baseUrlhttps://webitel.atlassian.net/wiki
diagramNameUntitled Diagram-1708082689995.drawio
pCenter0
width343
links
tbstyle
height138.5

Для подключения синхронизации пользователей, необходимо настроить secure LDAP для Azure Active Directory Microsoft Entra Domain Services. Ниже приводим ключевые моменты из официальной документации.

Создание самоподписного сертификата

 Для предварительно настроенного в Azure AD домена Microsoft Entra Domain Services домена aadds.webitel.com создаем сертификат. Открываем PowerShell с правами администратора и выполняем запрос:

Code Block
languagepowershell
# Define your own DNS name used by your Azure AD DS managed domain
$dnsName="aadds.webitel.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
      -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
      -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Экспорт сертификата

Открыть Microsoft Management Console (MMC) с правами администратора. В окне MMC открыть Console Root. Выбрать Certificates (Local Computer), дальше открыть Personal node:

...

Задать пароль и сохранить файл:

Windows Password for certificate

Включить Secure LDAP

...

для Microsoft Entra Domain Services

Откройте раздел Azure AD раздел Microsoft Entra Domain Services

Azure AD Domain Services SearchImage RemovedImage Added

Выберите ваш домен:

Azure AD Domain ListImage RemovedImage Added

В левой панели навигации выберите пункт Secure LDAP и включите его:

Azure AD Secure Ldap SettingsImage RemovedImage Added

Выберите ваш сертификат и укажите его пароль:

Azure AD Secure Ldap ConfigurationImage RemovedImage Added

После сохранения процесс активации может занять несколько минут.

Image Added

Разрешить подключение к LDAP с сервера Webitel

Для того , чтобы Webitel смог подключиться, необходимо перейти в настройки:

Image RemovedImage Added

Добавьте новое правило для подключения к порту 636 с IP адреса сервера Webitel:

Image RemovedImage Added

Настроить внешний DNS для доступа к LDAP

Для подключения к LDAP внесем запись в DNS для нового хоста ldaps.aadds.webitel.com, которая ссылается на IP из настроек:

Image RemovedImage Added

Тестирование подключения с сервера Webitel

Для тестирования подключения выполните команду:

...

CONNECTED(00000003) - успешное подключение к LDAP.

Настройка на стороне Webitel

Для настройки синхронизации пользователей необходимо передать технической поддержке Webitel следующие параметры:

...

После внесения настроек в Webitel должны автоматически создаваться (удаляться) пользователи на основании данных из Azure AD:

Image Removed

Image Removed из Microsoft Entra Domain Services

2. SSO (single sign-on) - Аутентификация пользователей по протоколу OpenID Connect

Webitel поддерживает аутентификацию пользователей по протоколу OpenID Connect, что позволяет реализовать механизм единого входа (SSO) с поддержкой двухфакторной  аутентификации (2FA) 

Создание приложения

Откройте Azure Active Directory и перейдите в App registrations:

...

Нажмите на New registration и создайте новое приложение

Image Modified

В поле redirect URI укажите ваш сервер webitel в формате: https://my.webitel.site/api/login/complete 

Внутри приложения копируем значение из поля Application (client) ID и OpenID Connect metadata document:

Image Modified


Переходим в пункт Client credentials:

Image Modified

И создаем новую запись (обратите внимание на срок действия пароля. По истечению срока, необходимо будет пересоздать пароль):

...

После сохранения необходимо сохранить значения из поля Value:

Настройка на стороне Webitel

Для настройки SSO на стороне Webitel  необходимо передать технической поддержке Webitel следующие параметры:

  1. Application (client) ID
  2. Value
  3. OpenID Connect metadata document

Аутентификация пользователей Webitel

После успешной настройки у пользователя должен отображаться вариант аутентификации с помощью Azure:

Image Modified

После нажатия на данную кнопку приложение перенаправит вас на страницу аутентификации Microsoft Azure:

...