Если вы используете Google Workspace (ранее GSuite) и у вас есть корпоративные учетные записи для доступа к сервисам на базе Google, то теперь вы можете настроить возможность входа в личный кабинет и на онлайн-мероприятия с использованием протокола OAuth 2.0.
OAuth 2.0 — протокол авторизации, который позволяет пользователю разрешить доступ к своим данным без необходимости предоставлять свои учетные данные.
На текущий момент функционал находится в стадии тестирования и постепенного релиза.
Если вы хотите получить ранний доступ, пожалуйста, обратитесь к персональному менеджеру или в службу технической поддержки.
Как настроить
Необходимо иметь настроенный сервис Google Workspace и созданный в нем OAuth-клиент.
Шаг 1. Создаем OAuth-клиент на стороне Google Workspace
Для создания клиента необходимо зайти в проект вашей Организации через консоль администратора Google, перейти в раздел “APIs & Services”, на левой боковой панели выбрать подраздел “Credentials”, нажать на кнопку “Create Credentials" и выбрать “OAuth client ID”:
Если вы еще не создавали страницу согласия (consent screen), система предложит это сделать:
и далее запросит выбор типа доступа:
Нам нужен вариант “Internal” — подразумевает работу только с пользователями из Google-проекта с доменом вашей Организации (вариант “External” — работа с любым пользователем, имеющим Google-аккаунт). Выбираем, нажимаем на кнопку “Create” и переходим к следующему этапу.
На следующем этапе настраиваем страницу согласия:
в верхнем блоке “App information” вводим название Организации, почту, которая будет отображаться на странице согласия (ВАЖНО: указанный адрес будет виден всем пользователям!);
в блоке “Authorized domains” добавляем домены вашей Организации: адреса, которые будут подтверждены в личном кабинете пользователя Webinar в разделе "Настройки SSO" (домены, с почтовых адресов которых будут зарегистрированы пользователи);
в нижнем блоке “Developer contact information» указываем почту, на которую Google будет присылать информацию о любых изменениях в вашем проекте:
Заполнение остальных полей является опциональным и служит для визуального оформления страницы согласия.
После сохранения настроек страницы согласия предстоит указать те персональные данные, к которым пользователь разрешает доступ. Нажимаем на кнопку “Add or remove scopes», справа откроется панель выбора. Нам нужно отметить email, profile и openid, внизу нажать на “Update” и далее на “Save and continue”:
Проверяем правильность заполнения и возвращаемся в подраздел “Credentials”.
Теперь, как в пункте 1, ещё раз нажимаем на кнопку “Create Credentials" и выбираем “OAuth client ID». Для типа создаваемого клиента выбираем “Web application” и задаем ему название:
После создания откроется окно с данными, которые понадобятся нам позже. ВАЖНО: утечка этих данных, особенно из поля “Client secret”, может привести к утечке персональных данных пользователей!
Копируем их:
Шаг 2. Подтверждаем домен
Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO.
ВАЖНО: без подтвержденного домена функционал работать не будет!
Шаг 3. Настраиваем связь МТС Линк и Google Workspace
Входим в личный кабинет, переходим в подраздел “Настройки SSO” раздела “Бизнес”. Выбираем протокол OAuth, Google Workspace в качестве SSO провайдера и вставляем данные из пункта 5 первого шага настроек в соответствующие поля — “Идентификатор приложения (Client id)” и “Секретный ключ приложения (Client secret)”:
После нажатия на кнопку Далее платформа предоставит доменные имена, которые нужно будет ввести в созданном в пунктах 1-5 первого шага настроек OAuth-клиенте.
В консоли Google заходим в наш клиент:
Копируем данные из личного кабинета платформы в соответствующие поля консоли и сохраняем изменения:
Шаг 4. Проверяем корректность настроек SSO (OAuth) перед началом использования
После выполнения всех необходимых действий можно проверить их корректность, нажав на кнопку “Проверить работу” в подразделе “Настройки SSO” раздела “Бизнес” личного кабинета:
Если ошибка в значении Client id, вас перебросит на страницу входа в Google со следующим сообщением:
Если же ошибка в значении Client secret, будет выводиться сообщение следующего вида:
Проверьте и введите корректные значения Client id и/или Client secret!
Если не был подтвержден домен, то будет выводится следующая ошибка:
Проверьте правильность подтверждения домена!
Ну а если все данные были введены правильно, появится сообщение об успешной проверке:
Готово!