# Доменная авторизация и SSO — как работает

## Назначение

Начиная с версии 4.2, Принтум поддерживает доменную авторизацию и Single Sign-On (SSO). Это позволяет пользователям входить в Личный кабинет с помощью доменного логина и пароля, не создавая отдельный пароль в Принтум.

## Принтум не хранит доменные пароли

Это ключевой принцип безопасности. Принтум:

- не импортирует доменные пароли;
- не хранит доменные пароли;
- не кэширует credentials пользователей.

При авторизации с доменным паролем Принтум передаёт введённые учётные данные контроллеру домена и проверяет корректность пароля **на стороне контроллера домена**. В самой системе пароль не сохраняется.

## Как выглядело до версии 4.2

В версии 4.1 пользователь при входе в Личный кабинет вводил:

- Логин — доменный (импортированный при синхронизации).
- Пароль — внутренний пароль Принтум (не доменный).

Внутренний пароль задавался самим пользователем через почту. Это не создавало проблем безопасности, но часто требования заказчиков предполагали использование исключительно доменного пароля.

## Доменная авторизация (версия 4.2+)

В Личном кабинете появляется кнопка **«Авторизоваться с помощью доменного логина и пароля»**.

Оба варианта авторизации могут работать параллельно:

- Внутренний пароль Принтум — для тех, кто его создал.
- Доменный пароль — для тех, кто предпочитает использовать корпоративные учётные данные.

Если заказчик переходит на доменную авторизацию, внутренняя парольная политика Принтум становится менее актуальной: пароли соответствуют требованиям политики домена.

## SSO (Single Sign-On)

SSO добавлен в версии 4.2. При использовании SSO пользователю не нужно вводить логин и пароль вручную — авторизация происходит автоматически на основе текущей доменной сессии.

В Личном кабинете появляется кнопка входа через SSO.

## Парольная политика

Принтум поддерживает настраиваемые парольные политики для внутренних паролей:

- Минимальная длина.
- Требования к составу (цифры, спецсимволы).
- Срок действия пароля.
- Требование смены пароля.

Можно задать несколько парольных политик для разных групп пользователей. Есть политика по умолчанию. При использовании доменной авторизации настройка внутренней политики остаётся на усмотрение администратора.

## Связанные страницы

- [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum)
- [Как работает синхронизация пользователей с доменом](http://wiki.printum.io/books/4-integracii/page/kak-rabotaet-sinxronizaciia-polzovatelei-s-domenom)