SSO с Active Directory и Keycloak в Битрикс24

В enterprise сотрудники не должны иметь отдельный пароль для CRM. SSO через корпоративный IdP — стандарт.

Варианты

• LDAP — классика, простой
• SAML 2.0 — для SSO с ADFS
• OAuth 2.0 / OpenID Connect — с Keycloak, Okta, Auth0

LDAP для Active Directory

Настраивается в админке коробки. Синхронизация пользователей, групп, фото. При входе — проверка пароля через LDAP-запрос.

SAML с ADFS

Нужен отдельный модуль. Битрикс24 — service provider, ADFS — identity provider. Обмен SAML-токенами с подписью.

OIDC с Keycloak

Keycloak как центральный IdP. Битрикс24 — OIDC-клиент. Пользователь логинится в Keycloak, получает токен, использует в Битрикс24.

Onboarding / Offboarding

При создании в AD — автоматически создаётся в Битрикс24. При увольнении в AD — отключается в Битрикс24 с сохранением истории.

2FA через IdP

Двухфакторная аутентификация настраивается в IdP, Битрикс24 получает уже проверенную идентичность.