Интеграция Webitel с Microsoft Entra Domain Services

В данном руководстве описан процесс настройки интеграции Webitel с Microsoft Entra Domain Services (раньше Azure Active Directory).

1. Синхронизация пользователей (automatic user provisioning) с помощью LDAP

Webitel поддерживает автоматическое создание, обновление и удаление пользователей посредством LDAP протокола. Для корректной работы пользователей с Microsoft Entra Domain Services необходимо настроить синхронизацию пользователей с маппингом полей, где будет указано:

  1. В какие Роли входит пользователь;

  2. Лицензии на какие продукты необходимо назначить;

  3. Автоматическое создание SIP устройств;

  4. Автоматическое создание оператора и назначение компетенций;

  5. Другое.

Для подключения синхронизации пользователей, необходимо настроить secure LDAP для Microsoft Entra Domain Services. Ниже приводим ключевые моменты из официальной документации.

Создание самоподписного сертификата

 Для предварительно настроенного в Microsoft Entra Domain Services домена aadds.webitel.com создаем сертификат. Открываем PowerShell с правами администратора и выполняем запрос:

# Define your own DNS name used by your Azure AD DS managed domain $dnsName="aadds.webitel.com" # Get the current date to set a one-year expiration $lifetime=Get-Date # Create a self-signed certificate for use with Azure AD DS New-SelfSignedCertificate -Subject *.$dnsName ` -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment ` -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Экспорт сертификата

Открыть Microsoft Management Console (MMC) с правами администратора. В окне MMC открыть Console Root. Выбрать Certificates (Local Computer), дальше открыть Personal node:

Правый клик на сертификате, выбрать All Tasks > Export

Выбрать приватный ключ:

Экспортировать PFX файл:

Задать пароль и сохранить файл:

Включить Secure LDAP для Microsoft Entra Domain Services

Откройте раздел Microsoft Entra Domain Services

Выберите ваш домен:

В левой панели навигации выберите пункт Secure LDAP и включите его:

Выберите ваш сертификат и укажите его пароль:

После сохранения процесс активации может занять несколько минут.

Разрешить подключение к LDAP с сервера Webitel

Для того чтобы Webitel смог подключиться, необходимо перейти в настройки:

Добавьте новое правило для подключения к порту 636 с IP адреса сервера Webitel:

Настроить внешний DNS для доступа к LDAP

Для подключения к LDAP внесем запись в DNS для нового хоста ldaps.aadds.webitel.com, которая ссылается на IP из настроек:

Тестирование подключения с сервера Webitel

Для тестирования подключения выполните команду:

openssl s_client -connect ldaps.aadds.webitel.com:636 CONNECTED(00000003) depth=0 CN = *.aadds.webitel.com verify error:num=18:self signed certificate verify return:1 depth=0 CN = *.aadds.webitel.com verify return:1 --- Certificate chain 0 s:CN = *.aadds.webitel.com i:CN = *.aadds.webitel.com --- Server certificate -----BEGIN CERTIFICATE----- MIIDSzCCAjOgAwIBAgIQFsLD21941ZVM8DaAtpErnjANBgkqhkiG9w0BAQsFADAe ......

CONNECTED(00000003) - успешное подключение к LDAP.

Настройка на стороне Webitel

Для настройки синхронизации пользователей необходимо передать технической поддержке Webitel следующие параметры:

  1. Строка подключения (хост в DNS) к LDAP

  2. Пользователь и пароль, под которым будет производиться подключение для вычитки пользователей

  3. Периодичность синхронизации (1 в час, 1 в сутки и т.д.)

После внесения настроек в Webitel должны автоматически создаваться (удаляться) пользователи на основании данных из Microsoft Entra Domain Services

2. SSO (single sign-on) - Аутентификация пользователей по протоколу OpenID Connect

Webitel поддерживает аутентификацию пользователей по протоколу OpenID Connect, что позволяет реализовать механизм единого входа (SSO) с поддержкой двухфакторной  аутентификации (2FA) 

Создание приложения

Откройте Microsoft Entra ID и перейдите в App registrations:

Нажмите на New registration и создайте новое приложение

В поле redirect URI укажите ваш сервер webitel в формате: https://my.webitel.site/api/login/complete 

Внутри приложения копируем значение из поля Application (client) ID и OpenID Connect metadata document:



Переходим в пункт Client credentials. И создаем новую запись (обратите внимание на срок действия пароля. По истечению срока, необходимо будет пересоздать пароль):

После сохранения необходимо сохранить значения из поля Value:

Настройка на стороне Webitel

Для настройки SSO на стороне Webitel  необходимо передать технической поддержке Webitel следующие параметры:

  1. Application (client) ID

  2. Value

  3. OpenID Connect metadata document

Аутентификация пользователей Webitel

После успешной настройки у пользователя должен отображаться вариант аутентификации с помощью Azure:

После нажатия на данную кнопку приложение перенаправит вас на страницу аутентификации Microsoft Azure: