В данном руководстве описан процесс настройки интеграции Webitel с Microsoft Entra Domain Services (раньше Azure Active Directory).

1. Синхронизация пользователей (automatic user provisioning) с помощью LDAP

Webitel поддерживает автоматическое создание, обновление и удаление пользователей посредством LDAP протокола. Для корректной работы пользователей с Microsoft Entra Domain Services необходимо настроить синхронизацию пользователей с маппингом полей, где будет указано:

1. В какие Роли входит пользователь;

2. Лицензии на какие продукты необходимо назначить;

3. Автоматическое создание SIP устройств;

4. Автоматическое создание оператора и назначение компетенций;

5. Другое.

Для подключения синхронизации пользователей, необходимо настроить secure LDAP для Microsoft Entra Domain Services. Ниже приводим ключевые моменты из официальной документации.

Создание самоподписного сертификата

 Для предварительно настроенного в Microsoft Entra Domain Services домена aadds.webitel.com создаем сертификат. Открываем PowerShell с правами администратора и выполняем запрос:

Экспорт сертификата

Открыть Microsoft Management Console (MMC) с правами администратора. В окне MMC открыть Console Root. Выбрать Certificates (Local Computer), дальше открыть Personal node:

Правый клик на сертификате, выбрать All Tasks > Export

Выбрать приватный ключ:

Экспортировать PFX файл:

Задать пароль и сохранить файл:

Включить Secure LDAP для Microsoft Entra Domain Services

Откройте раздел Microsoft Entra Domain Services

Выберите ваш домен:

В левой панели навигации выберите пункт Secure LDAP и включите его:

Выберите ваш сертификат и укажите его пароль:

После сохранения процесс активации может занять несколько минут.

Разрешить подключение к LDAP с сервера Webitel

Для того чтобы Webitel смог подключиться, необходимо перейти в настройки:

Добавьте новое правило для подключения к порту 636 с IP адреса сервера Webitel:

Настроить внешний DNS для доступа к LDAP

Для подключения к LDAP внесем запись в DNS для нового хоста ldaps.aadds.webitel.com, которая ссылается на IP из настроек:

Тестирование подключения с сервера Webitel

Для тестирования подключения выполните команду:

CONNECTED(00000003) - успешное подключение к LDAP.

Настройка на стороне Webitel

Для настройки синхронизации пользователей необходимо передать технической поддержке Webitel следующие параметры:

1. Строка подключения (хост в DNS) к LDAP

2. Пользователь и пароль, под которым будет производиться подключение для вычитки пользователей

3. Периодичность синхронизации (1 в час, 1 в сутки и т.д.)

После внесения настроек в Webitel должны автоматически создаваться (удаляться) пользователи на основании данных из Microsoft Entra Domain Services

2. SSO (single sign-on) - Аутентификация пользователей по протоколу OpenID Connect

Webitel поддерживает аутентификацию пользователей по протоколу OpenID Connect, что позволяет реализовать механизм единого входа (SSO) с поддержкой двухфакторной  аутентификации (2FA) 

Создание приложения

Откройте Microsoft Entra ID и перейдите в App registrations:

Нажмите на New registration и создайте новое приложение

В поле redirect URI укажите ваш сервер webitel в формате: https://my.webitel.site/api/login/complete 

Внутри приложения копируем значение из поля Application (client) ID и OpenID Connect metadata document:

Переходим в пункт Client credentials. И создаем новую запись (обратите внимание на срок действия пароля. По истечению срока, необходимо будет пересоздать пароль):

После сохранения необходимо сохранить значения из поля Value:

Настройка на стороне Webitel

Для настройки SSO на стороне Webitel  необходимо передать технической поддержке Webitel следующие параметры:

1. Application (client) ID

2. Value

3. OpenID Connect metadata document

Аутентификация пользователей Webitel

После успешной настройки у пользователя должен отображаться вариант аутентификации с помощью Azure:

После нажатия на данную кнопку приложение перенаправит вас на страницу аутентификации Microsoft Azure: