> ## Documentation Index
> Fetch the complete documentation index at: https://docs.get-clara.tech/llms.txt
> Use this file to discover all available pages before exploring further.

# Конфигурация SSO

> Настройте единый вход (SSO) для безопасной корпоративной аутентификации.

## О SSO

Единый вход (SSO) позволяет участникам вашей команды входить в Twenty, используя провайдера идентификации вашей организации. Это обеспечивает:

* **Централизованное управление доступом**: управляйте доступом из одного места
* **Повышенная безопасность**: используйте существующие политики безопасности
* **Лучший пользовательский опыт**: один набор учетных данных для всех инструментов

## Поддерживаемые провайдеры

Twenty поддерживает SSO с:

* **SAML 2.0**: работает с большинством корпоративных провайдеров идентификации
* **Google Workspace**: для организаций, использующих Google
* **Microsoft Entra ID**: (ранее Azure AD) для сред Microsoft

## Настройка SSO

### Требования

* План Organization (облачные и самостоятельно размещённые рабочие пространства)
* Доступ администратора к вашему провайдеру идентификации
* Доступ администратора к рабочему пространству Twenty

<Note>
  **Для пользователей с самостоятельным размещением, желающих настроить SSO**, свяжитесь по адресу [contact@twenty.com](mailto:contact@twenty.com)
</Note>

### Шаги настройки

#### 1. Доступ к настройкам SSO

1. Перейдите в **Настройки → Безопасность**
2. Найдите раздел **Конфигурация SSO**
3. Нажмите **Настроить SSO**

#### 2) Выберите своего провайдера

Выберите вашего провайдера идентификации из списка или выберите "Custom SAML" для других провайдеров.

#### 3. Настройте вашего провайдера идентификации

Вам потребуется настроить вашего провайдера идентификации со следующими параметрами:

* **Entity ID**: предоставляется Twenty
* **ACS URL**: URL обратного вызова для аутентификации
* **Сертификат**: для защищённой связи

#### 4. Введите данные провайдера в Twenty

* **SSO URL**: URL для входа от вашего провайдера
* **Entity ID**: идентификатор вашего провайдера
* **Сертификат**: сертификат X.509 от вашего провайдера

#### 5. Проверка и включение

1. Нажмите **Проверить конфигурацию**, чтобы проверить настройку
2. Включите SSO, когда проверка пройдёт успешно
3. Настройте параметры подготовки пользователей

## Подготовка пользователей

### Подготовка Just-in-Time (JIT)

* Пользователи создаются автоматически при первом входе
* Им автоматически назначается роль по умолчанию
* Ручное создание пользователей не требуется

### Ручная подготовка

* Пригласите пользователей до того, как они смогут войти
* Предварительно назначьте конкретные роли
* Больше контроля над тем, кто имеет доступ

## Управление пользователями SSO

### Назначение ролей

Пользователям SSO можно назначать роли так же, как обычным пользователям:

1. Перейдите в **Настройки → Участники**
2. Найдите пользователя
3. Измените их роль при необходимости

### Отзыв доступа

Чтобы удалить доступ для пользователей SSO:

* Удалите их из вашего провайдера идентификации или
* Удалите их из рабочего пространства Twenty

## Лучшие практики

### Безопасность

* **Требовать SSO**: отключите вход по паролю для пользователей SSO
* **Регулярные аудиты**: периодически пересматривайте доступ
* **Строгие политики IdP**: обеспечьте MFA на стороне провайдера идентификации

### Управление пользователями

* **Понятные названия**: используйте единообразные наименования из вашего каталога
* **Сопоставление групп**: сопоставьте группы IdP с ролями Twenty (если доступно)
* **Процесс офбординга**: включите Twenty в ваш рабочий процесс отзыва доступов

## Устранение неполадок

### Распространённые проблемы

* **Ошибки сертификата**: убедитесь, что срок действия сертификата не истёк
* **Несоответствия URL**: убедитесь, что ACS URL совпадает в точности
* **Пользователь не найден**: проверьте настройки JIT-подготовки

### Получение помощи

Если вы столкнётесь с проблемами, обратитесь в поддержку, указав:

* Полученные сообщения об ошибках
* Используемый провайдер идентификации
* Подробности конфигурации (без конфиденциальных данных)
