Интеграция Webitel с Microsoft Entra Domain Services

Owned by Vitalii Kovalyshyn
Last updated: Mar 27, 2024
10 min read

В данном руководстве описан процесс настройки интеграции Webitel с Microsoft Entra Domain Services (раньше Azure Active Directory).

1. Синхронизация пользователей (automatic user provisioning) с помощью LDAP

Webitel поддерживает автоматическое создание, обновление и удаление пользователей посредством LDAP протокола. Для корректной работы пользователей с Microsoft Entra Domain Services необходимо настроить синхронизацию пользователей с маппингом полей, где будет указано:

  1. В какие Роли входит пользователь;
  2. Лицензии на какие продукты необходимо назначить;
  3. Автоматическое создание SIP устройств;
  4. Автоматическое создание оператора и назначение компетенций;
  5. Другое.

Для подключения синхронизации пользователей, необходимо настроить secure LDAP для Microsoft Entra Domain Services. Ниже приводим ключевые моменты из официальной документации.

Создание самоподписного сертификата

 Для предварительно настроенного в Microsoft Entra Domain Services домена aadds.webitel.com создаем сертификат. Открываем PowerShell с правами администратора и выполняем запрос:

# Define your own DNS name used by your Azure AD DS managed domain
$dnsName="aadds.webitel.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
      -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
      -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Экспорт сертификата

Открыть Microsoft Management Console (MMC) с правами администратора. В окне MMC открыть Console Root. Выбрать Certificates (Local Computer), дальше открыть Personal node:

Правый клик на сертификате, выбрать All Tasks > Export

Export Windows Certificate for azure AD LDAP Configuration

Выбрать приватный ключ:

Windows Certificate Export with Private key

Экспортировать PFX файл:

Windows Personal Information Exchange

Задать пароль и сохранить файл:

Windows Password for certificate

Включить Secure LDAP для Microsoft Entra Domain Services

Откройте раздел Microsoft Entra Domain Services

Выберите ваш домен:

В левой панели навигации выберите пункт Secure LDAP и включите его:

Выберите ваш сертификат и укажите его пароль:

После сохранения процесс активации может занять несколько минут.

Разрешить подключение к LDAP с сервера Webitel

Для того чтобы Webitel смог подключиться, необходимо перейти в настройки:

Добавьте новое правило для подключения к порту 636 с IP адреса сервера Webitel:

Настроить внешний DNS для доступа к LDAP

Для подключения к LDAP внесем запись в DNS для нового хоста ldaps.aadds.webitel.com, которая ссылается на IP из настроек:

Тестирование подключения с сервера Webitel

Для тестирования подключения выполните команду:

openssl s_client -connect ldaps.aadds.webitel.com:636
                                            
CONNECTED(00000003)                                                                                                                     
depth=0 CN = *.aadds.webitel.com                                                                                                        
verify error:num=18:self signed certificate                                                                                             
verify return:1                                                                                                                         
depth=0 CN = *.aadds.webitel.com                                                                                                        
verify return:1                                                                                                                         
---                                                                                                                                     
Certificate chain                                                                                                                       
 0 s:CN = *.aadds.webitel.com                                                                                                           
   i:CN = *.aadds.webitel.com                                                                                                           
---                                                                                                                                     
Server certificate                                                                                                                      
-----BEGIN CERTIFICATE-----                                                                                                             
MIIDSzCCAjOgAwIBAgIQFsLD21941ZVM8DaAtpErnjANBgkqhkiG9w0BAQsFADAe  
......

CONNECTED(00000003) - успешное подключение к LDAP.

Настройка на стороне Webitel

Для настройки синхронизации пользователей необходимо передать технической поддержке Webitel следующие параметры:

  1. Строка подключения (хост в DNS) к LDAP
  2. Пользователь и пароль, под которым будет производиться подключение для вычитки пользователей
  3. Периодичность синхронизации (1 в час, 1 в сутки и т.д.)

После внесения настроек в Webitel должны автоматически создаваться (удаляться) пользователи на основании данных из Microsoft Entra Domain Services

2. SSO (single sign-on) - Аутентификация пользователей по протоколу OpenID Connect

Webitel поддерживает аутентификацию пользователей по протоколу OpenID Connect, что позволяет реализовать механизм единого входа (SSO) с поддержкой двухфакторной  аутентификации (2FA) 

Создание приложения

Откройте Microsoft Entra ID и перейдите в App registrations:

Нажмите на New registration и создайте новое приложение

В поле redirect URI укажите ваш сервер webitel в формате: https://my.webitel.site/api/login/complete 

Внутри приложения копируем значение из поля Application (client) ID и OpenID Connect metadata document:


Переходим в пункт Client credentials. И создаем новую запись (обратите внимание на срок действия пароля. По истечению срока, необходимо будет пересоздать пароль):

После сохранения необходимо сохранить значения из поля Value:

Настройка на стороне Webitel

Для настройки SSO на стороне Webitel  необходимо передать технической поддержке Webitel следующие параметры:

  1. Application (client) ID
  2. Value
  3. OpenID Connect metadata document

Аутентификация пользователей Webitel

После успешной настройки у пользователя должен отображаться вариант аутентификации с помощью Azure:

После нажатия на данную кнопку приложение перенаправит вас на страницу аутентификации Microsoft Azure: