Перейти к основному содержанию

О SSO

Единый вход (SSO) позволяет участникам вашей команды входить в Twenty, используя провайдера идентификации вашей организации. Это обеспечивает:
  • Централизованное управление доступом: управляйте доступом из одного места
  • Повышенная безопасность: используйте существующие политики безопасности
  • Лучший пользовательский опыт: один набор учетных данных для всех инструментов

Поддерживаемые провайдеры

Twenty поддерживает SSO с:
  • SAML 2.0: работает с большинством корпоративных провайдеров идентификации
  • Google Workspace: для организаций, использующих Google
  • Microsoft Entra ID: (ранее Azure AD) для сред Microsoft

Настройка SSO

Требования

  • План Organization (облачные и самостоятельно размещённые рабочие пространства)
  • Доступ администратора к вашему провайдеру идентификации
  • Доступ администратора к рабочему пространству Twenty
Для пользователей с самостоятельным размещением, желающих настроить SSO, свяжитесь по адресу contact@twenty.com

Шаги настройки

1. Доступ к настройкам SSO

  1. Перейдите в Настройки → Безопасность
  2. Найдите раздел Конфигурация SSO
  3. Нажмите Настроить SSO

2) Выберите своего провайдера

Выберите вашего провайдера идентификации из списка или выберите “Custom SAML” для других провайдеров.

3. Настройте вашего провайдера идентификации

Вам потребуется настроить вашего провайдера идентификации со следующими параметрами:
  • Entity ID: предоставляется Twenty
  • ACS URL: URL обратного вызова для аутентификации
  • Сертификат: для защищённой связи

4. Введите данные провайдера в Twenty

  • SSO URL: URL для входа от вашего провайдера
  • Entity ID: идентификатор вашего провайдера
  • Сертификат: сертификат X.509 от вашего провайдера

5. Проверка и включение

  1. Нажмите Проверить конфигурацию, чтобы проверить настройку
  2. Включите SSO, когда проверка пройдёт успешно
  3. Настройте параметры подготовки пользователей

Подготовка пользователей

Подготовка Just-in-Time (JIT)

  • Пользователи создаются автоматически при первом входе
  • Им автоматически назначается роль по умолчанию
  • Ручное создание пользователей не требуется

Ручная подготовка

  • Пригласите пользователей до того, как они смогут войти
  • Предварительно назначьте конкретные роли
  • Больше контроля над тем, кто имеет доступ

Управление пользователями SSO

Назначение ролей

Пользователям SSO можно назначать роли так же, как обычным пользователям:
  1. Перейдите в Настройки → Участники
  2. Найдите пользователя
  3. Измените их роль при необходимости

Отзыв доступа

Чтобы удалить доступ для пользователей SSO:
  • Удалите их из вашего провайдера идентификации или
  • Удалите их из рабочего пространства Twenty

Лучшие практики

Безопасность

  • Требовать SSO: отключите вход по паролю для пользователей SSO
  • Регулярные аудиты: периодически пересматривайте доступ
  • Строгие политики IdP: обеспечьте MFA на стороне провайдера идентификации

Управление пользователями

  • Понятные названия: используйте единообразные наименования из вашего каталога
  • Сопоставление групп: сопоставьте группы IdP с ролями Twenty (если доступно)
  • Процесс офбординга: включите Twenty в ваш рабочий процесс отзыва доступов

Устранение неполадок

Распространённые проблемы

  • Ошибки сертификата: убедитесь, что срок действия сертификата не истёк
  • Несоответствия URL: убедитесь, что ACS URL совпадает в точности
  • Пользователь не найден: проверьте настройки JIT-подготовки

Получение помощи

Если вы столкнётесь с проблемами, обратитесь в поддержку, указав:
  • Полученные сообщения об ошибках
  • Используемый провайдер идентификации
  • Подробности конфигурации (без конфиденциальных данных)