Налаштування єдиного входу (SAML та OIDC)

CalendarBridge дозволяє адміністраторам організації ввімкнути єдиний вхід, щоб ваші користувачі входили в CalendarBridge з тим самим постачальником ідентичності, який вони вже використовують для всього іншого. Цей посібник охоплює обидва підтримувані протоколи, точні значення постачальника послуг для вашого постачальника ідентичності, зіставлення атрибутів, тестування та усунення несправностей.

C Chad Оновлено 16 червня 2026 р. 8 хв читання

Єдиний вхід — коротко

Єдиний вхід (SSO) дозволяє вашій команді автентифікуватися в CalendarBridge через постачальника ідентичності (IdP) вашої організації замість окремого пароля CalendarBridge. Коли SSO застосовано примусово, кожен користувач у вашому підтвердженому домені перенаправляється на ваш IdP для входу, а доступ можна надавати або відкликати централізовано.

Підтримувані постачальники ідентичності

CalendarBridge працює з будь-яким постачальником ідентичності SAML 2.0 або OIDC, що відповідає стандартам. Портал «Керування організацією» містить вбудовані покрокові посібники з налаштування для таких:

Постачальник ідентичностіSAML 2.0OpenID ConnectДокументація постачальника
Microsoft Entra ID (Azure AD) Так Так Налаштувати SSO в Entra ID
Okta Так Так Створити застосунок SAML/OIDC в Okta
Google Workspace Так Налаштувати власний застосунок SAML
JumpCloud Так SSO з власним застосунком SAML
Будь-який інший IdP SAML 2.0 / OIDC Так Так Використовуйте загальні значення з цієї статті.
info
Розміщення в галереї Microsoft Entra ID CalendarBridge підтримує SAML 2.0, ініційований SP та IdP, і перевіряє сертифікат підпису, вікно дійсності, видавця та аудиторію SAML-твердження. Для рекомендованого налаштування Entra ID вкажіть CalendarBridge на App Federation Metadata URL, щоб ротація сертифікатів оброблялася автоматично.

Ліцензування

SSO та надання доступу SCIM входять до підписок групового (організаційного) плану CalendarBridge. CalendarBridge не стягує окрему додаткову плату за ввімкнення SSO. Зверніть увагу, що деякі постачальники ідентичності обмежують свої функції надання доступу/SCIM певними виданнями — наприклад, автоматичне надання доступу Google Workspace потребує Enterprise Standard, Enterprise Plus або Education Plus. Автоматичне надання доступу користувачам Microsoft Entra ID потребує ліцензії Microsoft Entra ID P1 або P2 у вашому тенанті.

Хто може налаштовувати SSO (доступ на основі ролей)

Лише адміністратор організації CalendarBridge може переглядати чи змінювати налаштування SSO та SCIM. Звичайні учасники ніколи не бачать ці елементи керування. Щоб керувати SSO, ви повинні:

lightbulb
Збережіть аварійного адміністратора Коли ви застосовуєте SSO примусово, переконайтеся, що принаймні один адміністратор організації все одно може отримати доступ до облікового запису, якщо IdP недоступний. Адміністратори CalendarBridge зберігають шлях обходу, тож ви ніколи не залишитеся заблокованими під час збою IdP.

Відкрийте вкладку «Єдиний вхід»

  1. Відкрийте портал «Керування організацією»

    На панелі керування CalendarBridge натисніть Керувати організацією або перейдіть безпосередньо на calendarbridge.com/dashboard/organization.

  2. Виберіть вкладку «Єдиний вхід»

    Виберіть вкладку Єдиний вхід. Якщо ви ще не налаштували SSO, ви побачите кнопку Налаштувати SSO.

  3. Натисніть «Налаштувати SSO»

    Виберіть свій протокол (SAML або OIDC), призначте підтверджений домен, до якого застосовується ця конфігурація, і виберіть свого постачальника ідентичності, щоб відкрити вбудований посібник із налаштування для конкретного постачальника.

Налаштування SAML 2.0

Налаштування SAML — це двосторонній обмін: ви передаєте значення постачальника послуг (SP) CalendarBridge своєму IdP, а він натомість надає CalendarBridge метадані вашого IdP.

Значення постачальника послуг для введення у вашому IdP

Це значення, які ви вставляєте у вашого постачальника ідентичності під час створення застосунку CalendarBridge. Точні, готові до копіювання значення для вашого облікового запису показано з кнопками Копіювати на вкладці «Єдиний вхід» — завжди копіюйте їх із порталу, а не вводьте вручну.

Поле (назва залежить від IdP)Значення
Entity ID / Audience URI / SP Entity ID urn:amazon:cognito:sp:<your-pool-id> — скопіюйте точне значення з вкладки SSO.
ACS URL / Reply URL / Single sign-on URL https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — скопіюйте точне значення з вкладки SSO.
Формат Name ID EmailAddress (постійна електронна пошта)
Прив'язка (Binding) HTTP-POST для твердження; HTTP-Redirect для запиту.

Обов'язкові зіставлення атрибутів

Зіставте ці твердження у вашому IdP. Введіть назву атрибута застосунку точно так, як показано — їх також наведено з кнопками копіювання в порталі.

Атрибут застосунку (введіть точно)Зіставляється з (у вашому IdP)
emailОсновна електронна пошта / Email / user.mail
nameІм'я / given name / user.givenname

Microsoft Entra ID (Azure AD) — SAML

  1. Створіть застосунок

    У центрі адміністрування Microsoft Entra перейдіть до Enterprise applications → New application → Create your own application → "Integrate any other application you don't find in the gallery."

  2. Відкрийте Single sign-on → SAML

    У Basic SAML Configuration введіть:

    • Identifier (Entity ID): Entity ID з вкладки SSO CalendarBridge.
    • Reply URL (ACS): ACS URL з вкладки SSO CalendarBridge.
  3. Налаштуйте атрибути та твердження

    Додайте твердження email та name із зіставлень атрибутів вище та встановіть Name ID на електронну пошту користувача.

  4. Скопіюйте App Federation Metadata URL

    У розділі SAML Signing Certificate скопіюйте App Federation Metadata URL (вона закінчується на /federationmetadata/2007-06/federationmetadata.xml). Використання URL — замість завантаження статичного XML-файлу — дозволяє CalendarBridge автоматично підхоплювати ротації сертифікатів.

  5. Призначте користувачів, потім завершіть у CalendarBridge

    Призначте користувачів або групи, які повинні мати доступ, потім поверніться на вкладку SSO CalendarBridge, вставте URL метаданих і збережіть.

Okta, Google Workspace, JumpCloud та інші — SAML

Процес однаковий для кожного IdP: створіть власний застосунок SAML, вставте значення постачальника послуг, додайте зіставлення атрибутів, потім надайте CalendarBridge метадані IdP. Портал показує точні шляхи меню для Okta, Google Workspace та JumpCloud, коли ви виберете цього постачальника. Ви можете надати метадані IdP двома способами на вкладці SSO CalendarBridge:

Налаштування OpenID Connect (OIDC)

Для IdP, які ви бажаєте підключити через OIDC/OAuth 2.0, CalendarBridge використовує Authorization Code flow. Ви створите вебзастосунок у своєму IdP і надасте CalendarBridge три значення.

Redirect URI для введення у вашому IdP

ПолеЗначення
Redirect URI / Sign-in redirect URI (платформа: Web)https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — скопіюйте точне значення з вкладки SSO.

Значення для введення в CalendarBridge

Поле CalendarBridgeДе знайти у вашому IdP
Discovery URLДокумент конфігурації OpenID вашого IdP, наприклад https://<your-idp>/.well-known/openid-configuration.
Client IDЗ реєстрації застосунку, яку ви створили.
Client SecretСекрет, який ви генеруєте під час реєстрації застосунку.

Запитувані дозволи (scopes) і навіщо

CalendarBridge запитує лише мінімальні стандартні OIDC-scopes, потрібні для ідентифікації користувача, який входить. Він не запитує доступ до пошти, файлів чи даних календаря через підключення SSO.

ScopeНавіщо він запитується (бізнес-обґрунтування)
openidПотрібен для виконання автентифікації OpenID Connect та отримання ID-токена.
emailВикористовується як унікальний ідентифікатор користувача для зіставлення його з вашою організацією CalendarBridge та підтвердженим доменом.
profileЧитає базовий профіль (ім'я), щоб заповнити відображуване ім'я користувача під час першого входу.
info
Згода з найменшими привілеями Це делеговані scopes лише для входу. Адміністратор (або користувач, відповідно до політики згоди вашого тенанта) надає згоду один раз під час першого входу. CalendarBridge не запитує жодних дозволів застосунку та жодних дозволів пошти/календаря Microsoft Graph у межах SSO.

Microsoft Entra ID — OIDC

  1. Зареєструйте застосунок

    У центрі адміністрування Microsoft Entra перейдіть до App registrations → New registration.

  2. Додайте redirect URI

    Додайте redirect URI платформи Web, встановлений на OIDC redirect URI CalendarBridge, показаний на вкладці SSO.

  3. Створіть client secret

    У розділі Certificates & secrets → New client secret створіть секрет і одразу скопіюйте його значення.

  4. Скопіюйте discovery (metadata) URL

    У розділі Overview → Endpoints скопіюйте URL OpenID Connect metadata document. Вставте discovery URL, client ID та client secret на вкладку SSO CalendarBridge і збережіть.

Примусове застосування SSO для вашого домену

За замовчуванням увімкнення SSO робить його доступним для користувачів у домені. Поставте позначку Примусово застосувати SSO у формі налаштування, щоб зробити його обов'язковим: тоді кожен користувач у цьому підтвердженому домені повинен входити через ваш IdP, а прямий вхід за паролем для них вимкнено.

warning
Протестуйте перед примусовим застосуванням Переконайтеся, що пілотний користувач може ввійти через SSO (наступний розділ), перш ніж вмикати примусове застосування, щоб не заблокувати користувачів через помилку в метаданих чи зіставленні атрибутів. Адміністратори CalendarBridge зберігають шлях обходу для аварійного доступу.

Тестування з пілотними користувачами

  1. Переконайтеся, що конфігурація має статус Active

    Після збереження картка конфігурації показує значок статусу. Зачекайте, поки він покаже Active. Значок Pending означає, що CalendarBridge ще не перевірив метадані IdP; значок Error показує причину вбудовано.

  2. Призначте пілотного користувача у вашому IdP

    Призначте одного-двох тестових користувачів застосунку CalendarBridge у вашому IdP, але поки що залиште примусове застосування вимкненим.

  3. Увійдіть через SSO

    Нехай пілотний користувач увійде в CalendarBridge, використовуючи електронну пошту/домен вашої організації. Його має бути перенаправлено на ваш IdP і повернуто в CalendarBridge вже з виконаним входом. Переконайтеся, що його ім'я та електронна пошта заповнилися правильно.

  4. Розгорніть для всіх

    Щойно пілотний тест успішний, призначте решту користувачів і, за бажанням, увімкніть Примусово застосувати SSO.

Усунення несправностей

Якщо картка конфігурації показує статус Error, повідомлення на картці пояснює конкретну помилку. Поширені випадки:

Симптом / повідомленняІмовірна причина та виправлення
Статус застряг на Pending або «could not fetch metadata» URL метаданих недоступний або повернув не-XML. Перевірте, чи завантажується URL у браузері, або перейдіть до завантаження XML-файлу метаданих.
Помилка «Invalid signature» / «certificate» Сертифікат підпису IdP було оновлено (ротовано), а збережені метадані застаріли. Збережіть повторно, використовуючи URL метаданих IdP (рекомендовано), щоб ротації підхоплювалися автоматично, або повторно завантажте поточний XML.
Невідповідність «Audience» / «Issuer» Entity ID / Audience URI у вашому IdP точно не збігається зі значенням із вкладки SSO. Повторно скопіюйте його з порталу.
Користувач входить, але ім'я/електронна пошта порожні або відхилені Зіставлення атрибутів email та name відсутні або названі неправильно. Перевірте ще раз обов'язкові зіставлення атрибутів — назви чутливі до регістру.
«AADSTS50105» / користувача не призначено (Entra ID) Користувача не призначено корпоративному застосунку CalendarBridge в Entra ID. Призначте користувача або його групу.
Невідповідність Redirect/Reply URL ACS URL (SAML) або Redirect URI (OIDC) у вашому IdP не збігається зі значенням на вкладці SSO. Повторно скопіюйте точне значення.

Отримання допомоги

Якщо ви застрягли після перевірки повідомлення про помилку на картці конфігурації та таблиці усунення несправностей вище, зверніться до служби підтримки CalendarBridge. Зазначте домен вашої організації, протокол (SAML/OIDC), вашого постачальника ідентичності та точне повідомлення про статус, показане на картці.