# Настройки авторизации и аутентификации

*Путь: ЛК Сотрудника - Настройки приложения - Общие - Настройки авторизации и аутентификации*

<figure><img src="/files/wNLnDPLb9S6sDYlEjcUB" alt=""><figcaption></figcaption></figure>

#### Используемые способы авторизации

В данном блоке настроек включаются варианты авторизации, может быть включено одновременно несколько способов.

**Логин-пароль** - стандартная авторизация, с помощью логина и пароля.

**SMS** - авторизация по SMS.

**SSO(single sign on)** - это авторизация через единый вход в систему.

#### Общие настройки

**Время жизни токена доступа**- Параметр определяет сколько времени(в секундах) будет действовать авторизация пользователя, значение по умолчанию 43200(12 часов)

**Использовать ограничение вариантов авторизации по физическим лицам**- Включает возможность ограничивать определенным физическим лицам способы авторизации. Настройка производится через [Монитор подключения сотрудников](https://padocs.empldocs.app/dlya-polzovatelei/kadrovyi-specialist/monitor-podklyucheniya-sotrudnikov-k-lks).

{% content-ref url="/pages/ZEX9enRBzZhTWJxWK1fc" %}
[Разрешен вход с нескольких устройств](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/razreshen-vkhod-s-neskolkikh-ustroistv.md)
{% endcontent-ref %}

#### Срок действия ссылок изменения пароля

{% content-ref url="/pages/PFZjdMzG7bfkG8Q788Yo" %}
[Приветственная рассылка срок действия](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/srok-deistviya-ssylok-izmenenie-parolya/privetstvennaya-rassylka-srok-deistviya.md)
{% endcontent-ref %}

{% content-ref url="/pages/qbjBuLOYcTrcy2iD8IW3" %}
[Срок действия ссылок для изменения пароля](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/srok-deistviya-ssylok-izmenenie-parolya/srok-deistviya-ssylok-dlya-izmeneniya-parolya.md)
{% endcontent-ref %}

#### Настройки вкладки Логин-пароль

{% content-ref url="/pages/UhrmaRAERGGPE32wAwNw" %}
[Используется двухфакторная аутентификация](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/dvukhfaktornaya-autentifikaciya/ispolzuetsya-dvukhfaktornaya-autentifikaciya.md)
{% endcontent-ref %}

{% content-ref url="/pages/HXbmsOrNsUNXtIBR2Asx" %}
[Вариант двухфакторной аутентификации](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/dvukhfaktornaya-autentifikaciya/variant-dvukhfaktornoi-autentifikacii.md)
{% endcontent-ref %}

{% content-ref url="/pages/Zxpl6tAPBuimmsmZ01Bk" %}
[Шаблон сообщения одноразовый код SMS](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/dvukhfaktornaya-autentifikaciya/shablon-soobsheniya-odnorazovyi-kod-sms.md)
{% endcontent-ref %}

{% content-ref url="/pages/KW19fd9oPDBFkywwALnb" %}
[Шаблоны сообщения одноразовый код авторизации почта](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/dvukhfaktornaya-autentifikaciya/shablony-soobsheniya-odnorazovyi-kod-avtorizacii-pochta.md)
{% endcontent-ref %}

{% content-ref url="/pages/u48zJ2KBfjCjqaBcoo5s" %}
[Вид адреса электронной почты (2FA)](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/dvukhfaktornaya-autentifikaciya/vid-adresa-elektronnoi-pochty-2fa.md)
{% endcontent-ref %}

{% content-ref url="/pages/DZpJ66fSNlSZif8TTpsY" %}
[Вид номера телефона (2FA)](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/dvukhfaktornaya-autentifikaciya/vid-nomera-telefona-2fa.md)
{% endcontent-ref %}

{% content-ref url="/pages/GzQbffkVHgJ2jn7GMuSk" %}
[Ограничить число попыток входа](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/ogranichit-chislo-popytok-vkhoda.md)
{% endcontent-ref %}

{% content-ref url="/pages/r8G0NQzbcOrWGXeBQbna" %}
[Задержка отправки одноразовых кодов](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/dvukhfaktornaya-autentifikaciya/zaderzhka-otpravki-odnorazovykh-kodov.md)
{% endcontent-ref %}

{% content-ref url="/pages/QiPaOLV0p5oX5Qag8A0P" %}
[Шаблон сообщения кто-то пытается авторизоваться](/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii/shablon-soobsheniya-kto-to-pytaetsya-avtorizovatsya.md)
{% endcontent-ref %}

#### Настройки вкладки технологии единого входа (SSO)

<details>

<summary><strong>SSO (</strong>single sign on) - это авторизация через единый вход в систему.</summary>

Эта технология предоставляет единый сервис аутентификации (провайдер) для подключенных приложений организации с поддержкой таких протоколов, как SAML и OpenID. При этом для доступа ко всем приложениям используется одна учетная запись.

**Настройки в пользовательском режиме**

* **Вариант работы** - вариант работы SSO.
  * SAML2;
  * OpenID Connect 1.0
* **Пропускать кнопку входа** - вариант при котором пользователь авторизуется автоматически при переходе по адресу личного кабинета, без необходимости дополнительного нажатия кнопки "Войти с помощью SSO"
* **Проверять подпись**- система на стороне приложения криптографически проверяет цифровую подпись токена или SAML‑ответа, который пришёл от IdP (поставщика идентификации)
* **Тип HTTP-запроса авторизации**- Определяет какой тип HTTP-запроса будет использовать front-end при отправке запросов авторизации(GET, POST).

**Настройки SAML2**

<figure><img src="/files/k6kOvfRVwtMQL8JHv9p8" alt=""><figcaption></figcaption></figure>

* **Адрес IDP -** необходимо указать адрес IDP;
* **Закрытый сертификат из файла** - сертификат из справочника Файлы (расширения cer, pem).
* **Публичный сертификат из файла** - сертификат из справочника Файлы (расширения p12, key).
* **Пароль закрытого сертификата** - пароль, используемый для закрытого сертификата.

**Настройки OpenID Connect 1.0**

<figure><img src="/files/abSKfwuYyZ646xiAf1Dk" alt=""><figcaption></figcaption></figure>

* **Получение данных аутентификации** - выбрать значение из выпадающего списка:
  * *Извлечь из токена* - рекомендуется;
  * *Получить по API* - используется тогда, когда IDP не добавляет эл. почту в токен.
* **Адрес авторизации** (authorization\_endpoint) - необходимо указать адрес авторизации;
* **Адрес выдачи токенов** (token\_endpoint) - необходимо указать адрес выдачи токенов;
* **Адрес информации о пользователе** (userinfo\_endpoint) - необходимо указать адрес информации о пользователе;
* **Адрес выхода из приложения** (end\_session\_endpoint) - необходимо указать адрес выхода из приложения;
* **Идентификатор клиента** - обязательный параметр, получается в настройках провайдера.
* **Секретный ключ клиента** - необязательный параметр.

***Пример***:

{"token\_endpoint":"<https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/token",\\>
"token\_endpoint\_auth\_methods\_supported"\["client\_secret\_post","private\_key\_jwt","client\_secret\_basic"], "jwks\_uri":"<https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/discovery/v2.0/keys",\\>
"response\_modes\_supported":\["query","fragment","form\_post"], "subject\_types\_supported":\["pairwise"],\
"id\_token\_signing\_alg\_values\_supported":\["RS256"],\
"response\_types\_supported":\["code","id\_token","code id\_token","id\_token token"], "scopes\_supported":\["openid","profile","email","offline\_access"], "issuer":"<https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/v2.0",\\>
"request\_uri\_parameter\_supported":false, "userinfo\_endpoint":"<https://graph.microsoft.com/oidc/userinfo",\\>
"authorization\_endpoint":"<https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/authorize>", "device\_authorization\_endpoint":"<https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/devicecode>", "http\_logout\_supported":true,"frontchannel\_logout\_supported":true, "end\_session\_endpoint":"<https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/oauth2/v2.0/logout",\\>
"claims\_supported":\["sub","iss","cloud\_instance\_name","cloud\_instance\_host\_name","cloud\_graph\_host\_name","msgraph\_host","aud","exp","iat","auth\_time","acr","nonce","preferred\_username","name","tid","ver","at\_hash","c\_hash","email"], "kerberos\_endpoint":"<https://login.microsoftonline.com/a0cdedaf-b882-42dc-8d2d-9bb3ce29de4f/kerberos",\\>
"tenant\_region\_scope":"EU",\
"cloud\_instance\_name":"microsoftonline.com", "cloud\_graph\_host\_name":"graph.windows.net",\
"msgraph\_host":"graph.microsoft.com",\
"rbac\_url":"<https://pas.windows.net"}>

<pre><code>Требования к провайдеру:
    1. Поддержка front channel logout
    2. Поддержка response_type - code
<strong>    3. Поддержка отправки client_secret как url-параметра
</strong><strong>ВАЖНО! Удалена поддержка SSO WS-Federation.
</strong></code></pre>

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://padocs.empldocs.app/dlya-razrabotchikov/nastroiki-lks/nastroiki-prilozheniya-lks-bek/obshie/nastroiki-avtorizacii-i-autentifikacii.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.