Корпоративный вход и каталог: SSO и LDAP для кадрового портала
Зачем HR-порталу OpenID Connect, SAML и синхронизация с Active Directory — без лишней технической «магии», но с понятными границами для ИТ и кадровой службы.
Единый вход (SSO)
Когда сотрудники уже аутентифицируются в корпоративном IdP (Microsoft Entra ID, Keycloak и др.), повторный пароль в каждой системе снижает удобство и повышает риск слабых паролей. В ЮГИТ HR поддерживается подключение провайдера OpenID Connect и сценарий SAML 2.0 как service provider: после настройки в контуре организации на странице входа появляются кнопки корпоративного входа. Сопоставление с учётной записью портала идёт по email, поэтому справочник в каталоге и карточки в HR должны быть согласованы заранее.
Каталог LDAP / AD и оргструктура
Отдельный сценарий — подтянуть из каталога названия отделов (в AD часто атрибут department) и обновить привязку уже заведённых в портале сотрудников к отделам и штатным должностям по совпадению email. Это не замена полноценной синхронизации учётных записей «вслепую»: новых пользователей портал из каталога сам не создаёт — так проще контролировать роли и доступ. Практический порядок: завести или импортировать людей (в том числе через импорт CSV), затем настроить LDAP и запустить предпросмотр и синхронизацию в реестрах.
Что обсудить до запуска
- Редиректы и URL callback в IdP должны совпадать с адресами портала в вашем контуре.
- Для SAML часто нужны метаданные SP — их выдаёт портал после включения сценария.
- Расширение PHP
ldapна сервере приложения — обязательное условие для импорта из каталога.