InterMIND

Настройка SSO

Подключите Okta, Microsoft Entra ID или Google Workspace, чтобы ваша команда входила через вашего провайдера идентификации.

Настройка SSO

Это руководство — для IT-администратора, подключающего корпоративного провайдера идентификации (IdP) к InterMIND. После настройки участники входят с обычной страницы входа: Sign in with SSO → рабочий email → ваш IdP → обратно в InterMIND.

Доступно на: планах Business и Enterprise Настраивается: владельцем команды или администратором Протокол: OpenID Connect (OIDC). Вход через SAML 2.0 в разработке — конфигурация SAML сохраняется, но пока не может использоваться для входа.

Предварительные условия

  1. Подтверждённый домен — сначала подтвердите домен вашей электронной почты через DNS TXT-запись (см. Управление доменами). Вход через SSO принимает только аккаунты, домен email которых подтверждён вашей командой; это граница тенанта.
  2. IdP с поддержкой OIDC с discovery — он должен отдавать /.well-known/openid-configuration по Issuer URL. Okta, Microsoft Entra ID и Google это поддерживают.

Что зарегистрировать в вашем IdP

Создайте OIDC Web Application в вашем IdP со следующими параметрами:

ПараметрЗначение
Redirect URI (callback)https://intermind.com/api/auth/sso/callback — также показан в карточке SSO после выбора OIDC
Grant typeAuthorization Code (PKCE S256 используется автоматически)
Scopesopenid email profile

ID-токен, выдаваемый вашим IdP, должен содержать email пользователя, и домен этого email должен быть одним из ваших подтверждённых доменов — иначе вход будет отклонён.

Затем заполните карточку SSO на странице Integrations:

ПолеЧто вставить
Display NameЛюбая метка, понятная вашим участникам
Issuer URLIssuer вашего IdP — URL, отдающий /.well-known/openid-configuration
Authorization URLauthorization_endpoint из этого discovery-документа
Client ID / Client SecretИз зарегистрированного вами приложения

Client secret шифруется при хранении и никогда не возвращается в браузер после сохранения.

Okta

  1. Admin console → Applications → Create App Integration → метод входа OIDC, тип приложения Web Application
  2. Sign-in redirect URI: https://intermind.com/api/auth/sso/callback
  3. Назначьте пользователей или группы, которым нужен доступ
  4. Скопируйте Client ID и Client Secret
  5. В InterMIND: Issuer URL = URL вашей организации Okta (например, https://acme.okta.com, либо issuer вашего authorization server, например https://acme.okta.com/oauth2/default, если вы его используете); Authorization URL = authorization_endpoint из <issuer>/.well-known/openid-configuration

Microsoft Entra ID (Azure AD)

  1. Entra admin center → App registrations → New registration
  2. Платформа Web, redirect URI https://intermind.com/api/auth/sso/callback
  3. Certificates & secrets → New client secret — сразу скопируйте Value секрета
  4. Client ID = Application (client) ID со страницы Overview
  5. Убедитесь, что ID-токен содержит email пользователя: Token configuration → Add optional claim → ID → email
  6. В InterMIND: Issuer URL = https://login.microsoftonline.com/<tenant-id>/v2.0; Authorization URL = https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize

Google Workspace

Регистрация приложения не требуется. В карточке SSO выберите тип провайдера Google Workspace и сохраните — участники с ваших подтверждённых доменов входят через свой Google-аккаунт и автоматически попадают в вашу команду. (Google также можно подключить как обычный OIDC-провайдер с issuer https://accounts.google.com, если вы предпочитаете явные клиентские учётные данные.)

Проверка подключения

  1. Откройте страницу входа в приватном/инкогнито-окне
  2. Нажмите Sign in with SSO и введите рабочий email на подтверждённом домене
  3. Вас перенаправит к вашему IdP; после аутентификации вы возвращаетесь в InterMIND уже вошедшим
  4. Вход фиксируется в журнале аудита команды (экспортируется со страницы Users) как auth.login с методом sso

Устранение неполадок

СимптомПричина
«SSO is not configured» после ввода emailНет активной конфигурации SSO, соответствующей домену этого email — проверьте, что домен подтверждён и карточка SSO сохранена
SSO login is not available: planПлан команды больше не включает SSO
SSO login is not available: domain-not-verifiedДомен ещё ожидает DNS-подтверждения
SSO login is not available: config-incompleteОтсутствует Client ID или Client Secret — пересохраните карточку SSO
SSO login is not available: type-unsupportedСохранённая конфигурация — SAML, а вход через SAML пока недоступен
SSO IdP discovery failedIssuer URL неверен или не отдаёт /.well-known/openid-configuration
«login session expired, start again»Между началом входа и callback от IdP прошло более 5 минут
Вход отклонён после возврата от IdPIdP вернул email вне ваших подтверждённых доменов или вообще без claim email (Entra: добавьте optional email claim)

Свойства безопасности

Для опросников по безопасности: SSO-поток — это Authorization Code с PKCE (S256), state и nonce; подпись ID-токена проверяется по JWKS вашего IdP, вместе с issuer и audience; IdP авторитетен только для доменов, подтверждённых через DNS — assertion для любого другого email никогда не создаст сессию; OIDC client secret шифруется при хранении; каждый вход через SSO попадает в журнал аудита команды. Проверки плана, домена и конфигурации выполняются на стороне сервера как при старте входа, так и при callback.

Интеграции

Настройка push-уведомлений, календаря, синхронизации каталога и SSO.

Тарифы и оплата

Обзор тарифных планов InterMIND, цен и управления оплатой.