Настройка SSO провайдера Google Workspace для протокола SAML

Возможность ограничить доступ к курсам вашей организации только для корпоративных учетных записей Google

Если в организации вы используете Google Workspace (ранее GSuite) и у вас есть корпоративные учетные записи для доступа к сервисам на базе Google, то теперь вы можете настроить возможность входа в личный кабинет и на онлайн-мероприятия только с этих учетных записей.


Инструкции для других протоколов и провайдеров идентификации:


Преимущества использования:

  • Не нужно создавать отдельные учётные записи для организаторов мероприятий. Создание личного кабинета, присоединение к организации и распределение доступного тарифа осуществляется автоматически во время первого входа в личный кабинет с помощью SSO.

  • При добавлении нового сотрудника он сразу может приступать к прохождению адаптационных курсов, а при увольнении достаточно отключить его учетную запись в Google, и доступ ко всем учебным материалам будет ограничен.

  • Не нужно отдельно создавать учетную запись Линк Курсы для участия в курсах и запоминать логин/пароль, т.к. вход осуществляется по одной кнопке.


Как настроить

Для настройки необходимо иметь настроенный сервис Google Workspace и созданное в нем SAML-приложение.


Шаг 1. Настройка связки МТС Линк и Google Workspace. Создание и настройка приложения

  1. Для создания приложения необходимо зайти в консоль администратора Google Workspace, раскрыть раздел "Apps" и выбрать "Web and moblie apps":

  2. В открывшемся окне нажимаем на "Add app" и в выпадающем списке выбираем "Add custom SAML app":

  3. Введите имя, описание, добавьте иконку и нажмите на "Continue":

  4. Скопируйте значение поля "SSO URL":

  5. И вставьте его в поле "URL Системы одного входа" на странице настроек SSO в МТС Линк:

  6. Теперь из Google Workspace копируем значение поля "Entity ID":

  7. И вставляем в поле "Идентификатор объекта" на странице настроек SSO в МТС Линк:

  8. Далее копируем значение сертификата из Google Workspace:

  9. И вставляем в поле "Сертификат" на странице настроек SSO в МТС Линк и нажимаем "Далее":

  10. Теперь скопируйте значение поля "Идентификатор объекта":

  11. На стороне Google Workspace нажмите "Continue" и вставьте скопированное значение в поле "Entinity ID":

  12. Возвращаемся в МТС Линк и копируем значение поля "URL ACS":

  13. Вставляем его в соответствующее поле в Google Workspace:

  14. Обязательно проставьте галочку "Singed Response" — без нее функционал работать не будет:

  15. Нажимаем на "Continue" и на следующей странице настраиваем передачу данных о пользователе. Это нужно, чтобы при входе в личный кабинет, а также регистрации на курс, ему не пришлось заполнять данные заново:

  16. Нажимаем "Finish" и переходим к финальным настройкам на стороне Google Workspace. Нажимаем "Off for everyone" на странице приложения:

  17. Переводим в положение "ON for everyone" и нажимаем "Save":


    Если вы хотите дать возможность работы с сервисами МТС Линк для части пользователей, то это можно сделать в разделе "Groups".


Шаг 2. Подтверждение домена

Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO.

ВАЖНО: без подтвержденного домена функционал работать не будет!


Шаг 3. Завершение настройки на стороне МТС Линк

После успешного подтверждения домена вам необходимо выбрать, как именно вы будете использовать SSO:

  • Использовать SSO для входа в личный кабинет: сотрудники вашей компании смогут входить в личный кабинет с помощью SSO без дополнительной регистрации на платформе. При первом входе будет произведена автоматическая регистрация, добавление в Организацию и подключение к тарифному плану вашей компании. Если на момент первого входа через SSO у данного E-mail будет найдена существующая учетная запись, то пользователь также будет присоединен к Организации, а все его данные останутся без изменений.

    ВАЖНО! Все аккаунты, присоединенные к Организации, кроме ее владельца, потеряют возможность аутентификации в личный кабинет с помощью обычного пароля, т.е. вход станет возможен только с использованием SSO.

  • Использовать SSO для ограничения доступа к курсам и вебинарам: вход на курсы и вебинары, созданные аккаунтом, принадлежащим к вашей Организации, будет возможен только с использованием SSO. Вы можете включить эту опцию для всех или только для выбранных сотрудников из списка:


Вход в личный кабинет с помощью SSO

Сотрудники компании смогут войти в личный кабинет с помощью SSO без дополнительной регистрации на платформе. Для входа в личный кабинет по SSO необходимо:

  • перейти по адресу https://namecompany.mts-link.ru, в котором заменить "namecompany" на домен вашей организации, ввести адрес корпоративной почты и нажать на кнопку "Войти":

  • если домен вашей организации неизвестен, перейти по адресу https://my.mts-link.ru, нажать на кнопку "Войти через SSO", далее на "Не знаю домен компании", ввести адрес своей корпоративной почты и нажать на кнопку "Продолжить":

После после этого вы будете перенаправлены на страницу провайдера идентификации. В случае успешной комбинации логина и пароля будет произведен вход в личный кабинет платформы МТС Линк.


Вход на курс/вебинар с помощью SSO

При входе на курс или вебинар участники будут видеть предложение зарегистрироваться с помощью аккаунта Google.

Не забудьте добавить сотрудников организации на стороне Google Workspace, иначе они не смогут войти на курс!


Проверка корректности настроек SSO (SAML) перед началом использования


👆 На этом пока всё