Настройка единого входа (SAML и OIDC)

CalendarBridge позволяет администраторам организаций включить единый вход, чтобы ваши пользователи входили в CalendarBridge с тем же поставщиком идентификации, который они уже используют для всего остального. В этом руководстве рассматриваются оба поддерживаемых протокола, точные значения поставщика услуг, которые нужно передать вашему поставщику идентификации, сопоставление атрибутов, тестирование и устранение неполадок.

C Chad Обновлено 16 июня 2026 г. 8 мин чтения

Единый вход вкратце

Единый вход (SSO) позволяет вашей команде аутентифицироваться в CalendarBridge через поставщика идентификации (IdP) вашей организации вместо отдельного пароля CalendarBridge. Когда SSO принудительно включён, каждый пользователь в вашем подтверждённом домене перенаправляется на ваш IdP для входа, а доступ можно предоставлять или отзывать централизованно.

Поддерживаемые протоколы: SAML 2.0 (инициируемый SP) и OpenID Connect (OIDC) / поток Authorization Code OAuth 2.0.
Издание CalendarBridge: SSO и SCIM доступны в тарифах CalendarBridge Group (Организация). Они настраиваются в портале «Управление организацией» администратором организации. См. Типы лицензий группового аккаунта и Лицензирование ниже.
Архитектура: CalendarBridge — это мультитенантное SaaS-приложение. SSO настраивается для каждого подтверждённого домена, поэтому каждый клиент владеет и управляет собственным подключением к поставщику идентификации. CalendarBridge получает и доверяет только тем метаданным/сертификату IdP, которые вы предоставляете для своего домена.

Поддерживаемые поставщики идентификации

CalendarBridge работает с любым поставщиком идентификации SAML 2.0 или OIDC, соответствующим стандартам. Портал «Управление организацией» включает встроенные пошаговые руководства по настройке для следующих:

Поставщик идентификации	SAML 2.0	OpenID Connect	Документация поставщика
Microsoft Entra ID (Azure AD)	Да	Да	Настройка SSO в Entra ID
Okta	Да	Да	Создание приложения SAML/OIDC в Okta
Google Workspace	Да	—	Настройка пользовательского приложения SAML
JumpCloud	Да	—	SSO с пользовательским приложением SAML
Любой другой IdP SAML 2.0 / OIDC	Да	Да	Используйте общие значения из этой статьи.

info

Листинг в галерее Microsoft Entra ID CalendarBridge поддерживает SAML 2.0, инициируемый SP и инициируемый IdP, и проверяет подписывающий сертификат SAML-утверждения, окно действия, издателя и аудиторию. Для рекомендуемой настройки Entra ID укажите CalendarBridge на App Federation Metadata URL, чтобы ротация сертификатов обрабатывалась автоматически.

Лицензирование

SSO и SCIM-провижининг включены в подписки CalendarBridge Group (Организация). CalendarBridge не взимает отдельную плату за дополнение для включения SSO. Учтите, что некоторые поставщики идентификации ограничивают свои функции провижининга/SCIM определёнными изданиями — например, авто-провижининг Google Workspace требует Enterprise Standard, Enterprise Plus или Education Plus. Автоматический провижининг пользователей Microsoft Entra ID требует лицензии Microsoft Entra ID P1 или P2 в вашем тенанте.

Кто может настраивать SSO (доступ на основе ролей)

Только администратор организации CalendarBridge может просматривать или изменять настройки SSO и SCIM. Обычные участники никогда не видят этих элементов управления. Чтобы управлять SSO, вы должны:

Быть администратором группового аккаунта (см. Обзор портала администратора группы) и
Иметь хотя бы один подтверждённый домен в аккаунте. SSO привязан к подтверждённому домену — см. Подключение авторизованных доменов.

lightbulb

Сохраните аварийного администратора Когда вы принудительно включаете SSO, убедитесь, что хотя бы один администратор организации по-прежнему сможет получить доступ к аккаунту, если IdP недоступен. Администраторы CalendarBridge сохраняют обходной путь, так что вы никогда не будете заблокированы во время сбоя IdP.

Откройте вкладку «Единый вход»

Откройте портал «Управление организацией»

На панели управления CalendarBridge нажмите «Управление организацией» или перейдите напрямую на calendarbridge.com/dashboard/organization.
Выберите вкладку «Единый вход»

Выберите вкладку «Единый вход». Если вы ещё не настроили SSO, вы увидите кнопку «Настроить SSO».
Нажмите «Настроить SSO»

Выберите протокол (SAML или OIDC), назначьте подтверждённый домен, к которому применяется эта конфигурация, и выберите своего поставщика идентификации, чтобы открыть встроенное руководство по настройке для конкретного поставщика.

Настройка SAML 2.0

Настройка SAML — это двусторонний обмен: вы передаёте значения поставщика услуг (SP) CalendarBridge своему IdP, а взамен передаёте CalendarBridge метаданные вашего IdP.

Значения поставщика услуг для ввода в ваш IdP

Это значения, которые вы вставляете в своего поставщика идентификации при создании приложения CalendarBridge. Точные, готовые к копированию значения для вашего аккаунта отображаются с кнопками «Копировать» на вкладке «Единый вход» — всегда копируйте их из портала, а не вводите вручную.

Поле (название зависит от IdP)	Значение
Entity ID / Audience URI / SP Entity ID	`urn:amazon:cognito:sp:<your-pool-id>` — скопируйте точное значение со вкладки SSO.
ACS URL / Reply URL / Single sign-on URL	`https://<your-CalendarBridge-auth-domain>/saml2/idpresponse` — скопируйте точное значение со вкладки SSO.
Name ID format	`EmailAddress` (постоянный email)
Binding	HTTP-POST для утверждения; HTTP-Redirect для запроса.

Обязательное сопоставление атрибутов

Сопоставьте эти утверждения в вашем IdP. Введите имя атрибута приложения в точности как показано — они также перечислены с кнопками копирования в портале.

Атрибут приложения (вводите точно)	Сопоставляется с (в вашем IdP)
`email`	Основной email / Email / `user.mail`
`name`	Имя / given name / `user.givenname`

Microsoft Entra ID (Azure AD) — SAML

Создайте приложение

В центре администрирования Microsoft Entra перейдите в Enterprise applications → New application → Create your own application → «Integrate any other application you don't find in the gallery.»
Откройте Single sign-on → SAML
В Basic SAML Configuration введите:
- Identifier (Entity ID): Entity ID со вкладки SSO в CalendarBridge.
- Reply URL (ACS): ACS URL со вкладки SSO в CalendarBridge.
Настройте атрибуты и утверждения

Добавьте утверждения email и name из сопоставления атрибутов выше и установите Name ID на email пользователя.
Скопируйте App Federation Metadata URL

В разделе SAML Signing Certificate скопируйте App Federation Metadata URL (он заканчивается на /federationmetadata/2007-06/federationmetadata.xml). Использование URL — вместо загрузки статического XML-файла — позволяет CalendarBridge автоматически подхватывать ротацию сертификатов.
Назначьте пользователей, затем завершите в CalendarBridge

Назначьте пользователей или группы, которым должен быть предоставлен доступ, затем вернитесь на вкладку SSO в CalendarBridge, вставьте URL метаданных и сохраните.

Okta, Google Workspace, JumpCloud и другие — SAML

Процесс одинаков для каждого IdP: создайте пользовательское приложение SAML, вставьте значения поставщика услуг, добавьте сопоставление атрибутов, затем передайте CalendarBridge метаданные IdP. Портал показывает точные пути меню для Okta, Google Workspace и JumpCloud при выборе этого поставщика. Вы можете предоставить метаданные IdP двумя способами на вкладке SSO в CalendarBridge:

Metadata URL (рекомендуется) — вставьте URL метаданных федерации IdP; CalendarBridge повторно запрашивает его, поэтому ротация сертификатов подхватывается автоматически.
Metadata XML — загрузите файл метаданных IdP .xml, если ваш поставщик не публикует URL.

Настройка OpenID Connect (OIDC)

Для IdP, которые вы предпочли бы подключить по OIDC/OAuth 2.0, CalendarBridge использует поток Authorization Code. Вы создадите веб-приложение в вашем IdP и передадите CalendarBridge три значения.

Redirect URI для ввода в ваш IdP

Поле	Значение
Redirect URI / Sign-in redirect URI (платформа: Web)	`https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse` — скопируйте точное значение со вкладки SSO.

Значения для ввода в CalendarBridge

Поле CalendarBridge	Где найти его в вашем IdP
Discovery URL	Документ конфигурации OpenID вашего IdP, например `https://<your-idp>/.well-known/openid-configuration`.
Client ID	Из созданной вами регистрации приложения.
Client Secret	Секрет, который вы генерируете в регистрации приложения.

Запрашиваемые разрешения (scopes) и почему

CalendarBridge запрашивает только минимальные, стандартные scopes OIDC, необходимые для идентификации входящего пользователя. Он не запрашивает доступ к почте, файлам или данным календаря через подключение SSO.

Scope	Почему он запрашивается (бизнес-обоснование)
`openid`	Требуется для выполнения аутентификации OpenID Connect и получения ID-токена.
`email`	Используется как уникальный идентификатор пользователя для сопоставления его с вашей организацией CalendarBridge и подтверждённым доменом.
`profile`	Считывает базовый профиль (имя), чтобы заполнить отображаемое имя пользователя при первом входе.

info

Согласие по принципу наименьших привилегий Это делегированные scopes только для входа. Администратор (или пользователь, в зависимости от политики согласия вашего тенанта) предоставляет согласие один раз при первом входе. CalendarBridge не запрашивает разрешений приложения и не запрашивает разрешений Microsoft Graph на почту/календарь в рамках SSO.

Microsoft Entra ID — OIDC

Зарегистрируйте приложение

В центре администрирования Microsoft Entra перейдите в App registrations → New registration.
Добавьте redirect URI

Добавьте redirect URI платформы Web, установленный на OIDC redirect URI в CalendarBridge, показанный на вкладке SSO.
Создайте client secret

В разделе Certificates & secrets → New client secret создайте секрет и немедленно скопируйте его значение.
Скопируйте discovery (metadata) URL

В Overview → Endpoints скопируйте URL OpenID Connect metadata document. Вставьте discovery URL, client ID и client secret на вкладку SSO в CalendarBridge и сохраните.

Принудительное включение SSO для вашего домена

По умолчанию включение SSO делает его доступным для пользователей домена. Отметьте «Enforce SSO» в форме настройки, чтобы сделать его обязательным: тогда каждый пользователь в этом подтверждённом домене должен будет входить через ваш IdP, а прямой вход по паролю для них отключается.

warning

Протестируйте перед принудительным включением Убедитесь, что пилотный пользователь может войти через SSO (следующий раздел), прежде чем включать принудительное применение, чтобы не заблокировать пользователей из-за ошибки в метаданных или сопоставлении атрибутов. Администраторы CalendarBridge сохраняют обходной путь для аварийного доступа.

Тестирование с пилотными пользователями

Убедитесь, что конфигурация Active

После сохранения на карточке конфигурации отображается значок статуса. Дождитесь, пока он будет показывать Active. Значок Pending означает, что CalendarBridge ещё не проверил метаданные IdP; значок Error показывает причину прямо на месте.
Назначьте пилотного пользователя в вашем IdP

Назначьте одного-двух тестовых пользователей приложению CalendarBridge в вашем IdP, но пока оставьте принудительное применение выключенным.
Войдите через SSO

Пусть пилотный пользователь войдёт в CalendarBridge, используя email/домен вашей организации. Он должен быть перенаправлен на ваш IdP и возвращён в CalendarBridge уже вошедшим. Убедитесь, что его имя и email заполнились корректно.
Разверните

Как только пилот пройдёт успешно, назначьте остальных пользователей и, при желании, включите «Enforce SSO».

Устранение неполадок

Если карточка конфигурации показывает статус Error, отображаемое на карточке сообщение объясняет конкретный сбой. Распространённые случаи:

Симптом / сообщение	Вероятная причина и решение
Статус застрял на Pending или «could not fetch metadata»	URL метаданных недоступен или вернул не-XML. Проверьте, что URL загружается в браузере, или переключитесь на загрузку XML-файла метаданных.
Ошибка «Invalid signature» / «certificate»	Подписывающий сертификат IdP был обновлён, а сохранённые метаданные устарели. Пересохраните, используя metadata URL IdP (рекомендуется), чтобы ротация подхватывалась автоматически, или повторно загрузите актуальный XML.
Несоответствие «Audience» / «Issuer»	Entity ID / Audience URI в вашем IdP не точно совпадает со значением со вкладки SSO. Скопируйте его заново из портала.
Пользователь входит, но имя/email пусты или отклонены	Сопоставление атрибутов `email` и `name` отсутствует или названо неверно. Перепроверьте обязательное сопоставление атрибутов — имена чувствительны к регистру.
«AADSTS50105» / пользователь не назначен (Entra ID)	Пользователь не назначен корпоративному приложению CalendarBridge в Entra ID. Назначьте пользователя или его группу.
Несоответствие Redirect/Reply URL	ACS URL (SAML) или Redirect URI (OIDC) в вашем IdP не совпадает со значением на вкладке SSO. Скопируйте точное значение заново.

Получение помощи

Если вы зашли в тупик после проверки сообщения об ошибке на карточке конфигурации и таблицы устранения неполадок выше, обратитесь в поддержку CalendarBridge. Укажите домен вашей организации, протокол (SAML/OIDC), вашего поставщика идентификации и точное сообщение о статусе, показанное на карточке.

Связаться с поддержкой CalendarBridge
Настройка синхронизации каталогов SCIM (провижининг) — автоматизируйте создание и деактивацию пользователей после активации SSO.