Xác thực

Tìm hiểu về các lựa chọn cho phép người dùng truy cập Workplace.

Nội dung

Tổng quan

Tổng quan

Với tính năng Đăng nhập một lần (SSO), người dùng có thể truy cập Workplace thông qua Hệ thống cung cấp danh tính (IdP) mà bạn kiểm soát. Tính năng này sẽ mang lại cho bạn và đội ngũ của mình một số lợi ích:

  • An toàn hơn: Cung cấp thêm lớp quản lý và bảo mật (không có thông tin đăng nhập nào được truyền tải qua mạng hoặc được lưu trữ bên ngoài hệ thống do công ty bạn kiểm soát).
  • Dễ dàng hơn cho người dùng cuối: Đăng nhập Workplace bằng chính thông tin đăng nhập SSO dùng cho các hệ thống khác (ví dụ: ứng dụng nội bộ hoặc ứng dụng trên laptop). Vì thế, người dùng của bạn có thể truy cập Workplace mà không cần phải ghi nhớ mật khẩu khác.

Workplace được một số hệ thống cung cấp danh tính hỗ trợ trực tiếp, bao gồm Azure AD, G Suite, Okta, OneLogin, Ping Identity nhằm cung cấp các trình kết nối trực tiếp để thiết lập dễ dàng hơn.

?
Workplace hỗ trợ SAML (Ngôn ngữ đánh dấu xác nhận bảo mật) 2.0 cho SSO. Đây là một tiêu chuẩn của ngành nên chúng tôi có khả năng tích hợp dễ dàng với bất kỳ Hệ thống cung cấp danh tính nào hỗ trợ SAML 2.0, ngay cả khi Hệ thống cung cấp đó không được liệt kê trên trang này hay thậm chí tạo ra hoạt động triển khai SSO của riêng bạn.

Bật SSO cho Workplace

Sau khi bạn hoàn tất thành công quá trình cấu hình SSO bên dưới, những người dùng được cấp phép trong Workplace sẽ có thể xác thực thông qua Hệ thống cung cấp danh tính mà bạn đã chọn.

Điều kiện tiên quyết

Điều kiện tiên quyết

Để bật tính năng xác thực SSO trong Workplace, bạn cần:

  • Có quyền truy cập vào các tùy chọn cài đặt cấu hình của Hệ thống cung cấp danh tính.
  • Được chỉ định vai trò Quản trị viên hệ thống trong Workplace.
  • Có tài khoản tương ứng trong Hệ thống cung cấp danh tính, với địa chỉ email giống như người dùng Workplace mà bạn đăng nhập (tức là sử dụng cùng một địa chỉ email để xác thực cả trong Workplace lẫn Hệ thống cung cấp danh tính). Điều này cần thiết để thử nghiệm SSO và hoàn tất quá trình cấu hình Workplace một cách chính xác.
?
Theo mặc định, Workplace hỗ trợ một Hệ thống cung cấp danh tính cho SSO trong mỗi phiên bản. Điều này nghĩa là để bật SSO cho từng người dùng, bạn phải có một Hệ thống cung cấp danh tính chung cho SSO. Ngoài ra, chúng tôi còn hỗ trợ trường hợp xác thực kết hợp. Theo đó, một số người dùng sẽ xác thực bằng SSO, còn những người dùng khác sẽ xác thực bằng thông tin đăng nhập là tên người dùng Workplace và mật khẩu hoặc chúng tôi cung cấp dịch vụ Hỗ trợ nhiều Hệ thống cung cấp danh tính trong gói Doanh nghiệp của mình.

Hướng dẫn cấp cao

Khi bật SSO, bạn cần thực hiện một số thay đổi đối với Hệ thống cung cấp danh tính và Workplace. Có 3 giai đoạn:

1
Lập cấu hình Hệ thống cung cấp danh tính (IdP) để bật SSO cho Workplace.

2
Lập cấu hình Workplace để xác thực người dùng qua SSO.

3
Bật SSO cho người dùng.

Dưới đây là thông tin chi tiết về từng bước:

Lập cấu hình IdP cho SSO với Workplace

1. Lập cấu hình Hệ thống cung cấp danh tính để bật SSO cho Workplace

Làm theo các hướng dẫn bên dưới của Hệ thống cung cấp danh tính để lập cấu hình SSO cho Workplace. Tất cả các Hệ thống cung cấp danh tính dựa trên đám mây mà chúng tôi hỗ trợ đều cung cấp ứng dụng được cấu hình sẵn để bạn thiết lập Workplace dễ dàng hơn:

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace cũng hỗ trợ ADFS dưới dạng nhà cung cấp SSO. Đọc thêm về Cách cấu hình ADFS dưới dạng nhà cung cấp SSO cho Workplace..

Tất cả các cấu hình ở trên đều cung cấp ít nhất một URL của SAML, URL của bên phát hành SAMLchứng chỉ X.509 mà chúng tôi sẽ sử dụng để lập cấu hình Workplace ở bước tiếp theo. Hãy ghi lại các thông tin này.

?
Đối với chứng chỉ X.509, bạn có thể cần phải mở chứng chỉ đã tải xuống trong công cụ chỉnh sửa văn bản để sử dụng ở bước tiếp theo.
Lập cấu hình Workplace để xác thực người dùng qua SSO

2. Lập cấu hình Workplace để xác thực người dùng qua SSO

Điều này liên kết giữa nhà cung cấp SSO của bạn với Workplace:

1
Trong Bảng điều khiển quản trị, chọn Bảo mật.

2
Nhấp vào tab Xác thực.

3
Đánh dấu vào ô Đăng nhập một lần (SSO).

4
Nhấp vào +Thêm nhà cung cấp SSO mới.

5
Nhập các giá trị từ Hệ thống cung cấp danh tính của bạn vào các trường thông tin phù hợp:
  • URL của SAML
  • URL của bên phát hành SAML
  • Chuyển hướng đăng xuất SAML (Không bắt buộc)
  • Chứng chỉ SAML

?
Tùy theo Hệ thống cung cấp danh tính, bạn có thể cần phải sao chép các giá trị cho URL đối tượng, URL người nhậnURL ACS (Dịch vụ người tiêu dùng xác nhận) được nêu trong phần Cấu hình SAML, rồi lập cấu hình Hệ thống cung cấp danh tính một cách phù hợp.

5
Cuộn xuống cuối phần này và nhấp vào nút Thử nghiệm SSO. Khi đó, một cửa sổ bật lên sẽ xuất hiện với trang đăng nhập của Hệ thống cung cấp danh tính. Nhập thông tin đăng nhập của bạn để xác thực.

?
Khắc phục sự cố: Đảm bảo địa chỉ email dùng để xác thực với IdP giống với tài khoản Workplace mà bạn đăng nhập.

6
Sau khi thử nghiệm thành công, hãy cuộn xuống cuối trang và nhấp vào nút Lưu.

7
Nếu cần, hãy Lập cấu hình SSO làm phương thức xác thực mặc định cho người dùng mới bằng cách chọn SSO trong menu thả xuống Mặc định cho người dùng mới.

3. Bật SSO cho người dùng.

Bật SSO cho người dùng.

Giờ đây, bạn có thể bật SSO cho người dùng của mình theo một trong những cách sau:

  • Bật SSO cho người dùng
  • Bật SSO hàng loạt cho tất cả hoặc một số người dùng của bạn

Bật SSO cho người dùng

Bạn có thể bật SSO cho người dùng bằng cách đăng nhập với tư cách Quản trị viên có quyền thêm và gỡ tài khoản:

1
Trong Bảng điều khiển quản trị, chọn Mọi người.

2
Tìm kiếm người dùng mà bạn muốn bật SSO.

3
Nhấp vào nút ... rồi chọn Chỉnh sửa thông tin nhân viên.

4
Chọn SSO trong phần Đăng nhập bằng.
Bật SSO hàng loạt cho tất cả hoặc một số người dùng của bạn

Bạn có thể sử dụng các cách khác nhau để bật SSO cho tất cả hoặc một nhóm nhỏ người dùng:

  • Hãy sử dụng API Quản lý tài khoản để tự động cập nhật trường Phương thức đăng nhập cho một nhóm người dùng. Hầu hết các Hệ thống cung cấp danh tính tích hợp với Workplace đều dựa vào API đó để đồng bộ hóa các phần cài đặt xác thực cho tất cả người dùng của bạn trên quy mô lớn. Đọc thêm trong phần API Quản lý tài khoản.
  • Phương thức đăng nhập nằm trong số các trường thông tin mà chúng tôi hỗ trợ chỉnh sửa hàng loạt. Bạn có thể đặt trường Login method thành SSO đối với nhóm người dùng bằng tính năng nhập bảng tính. Bạn có thể đọc thêm trong phần Quản lý hàng loạt tài khoản.
Chuyển hướng đăng xuất SAML

Chuyển hướng đăng xuất SAML (Không bắt buộc)

Nếu muốn, bạn có thể chọn lập cấu hình URL đăng xuất SAML trên trang cấu hình SSO được dùng để trỏ đến trang đăng xuất của Hệ thống cung cấp danh tính. Khi bật và lập cấu hình phần cài đặt này, người dùng sẽ không còn chuyển hướng đến trang đăng xuất Workplace nữa. Thay vào đó, người dùng sẽ chuyển hướng đến URL đã được thêm vào phần cài đặt Chuyển hướng đăng xuất SAML.

Tần suất xác thực lại

Tần suất xác thực lại

Bạn có thể lập cấu hình Workplace để nhắc kiểm tra SAML mỗi ngày, 3 ngày một lần, mỗi tuần, 2 tuần một lần, mỗi tháng hoặc không bao giờ. Bạn cũng có thể dùng nút Buộc xác thực lại ngay để buộc tất cả người dùng đặt lại SAML.

Cấu trúc của SSO trên Workplace

Cấu trúc của SSO trên Workplace

?
Phần này cung cấp thông tin chi tiết hơn về quy trình SSO mà Workplace hỗ trợ. Các giải pháp SSO tùy chỉnh dựa trên SAML phải tuân thủ những nguyên tắc nêu trên để có thể tích hợp với Workplace trong quy trình xác thực.

Workplace hỗ trợ SAML 2.0 cho SSO thông qua việc cấp cho quản trị viên lựa chọn quản lý quyền truy cập vào nền tảng này bằng cách sử dụng Hệ thống cung cấp danh tính (IdP) mà họ kiểm soát. Workplace nhận và chấp nhận các xác nhận dựa trên SAML từ IdP và đóng vai trò là Nhà cung cấp dịch vụ (SP) SAML trong quy trình xác thực sau:

1
SSO khởi tạo bởi SP. Một người dùng được bật SSO truy cập trang đăng nhập Workplace, sau đó:
  • Điền tên người dùng rồi nhấp vào nút Tiếp tụcHOẶC
  • Nhấp vào nút Đăng nhập bằng SSO.

2
Workplace liên kết phương thức Chuyển hướng HTTP từ SP đến IdP. Đối tượng <samlp:AuthnRequest> được chuyển qua trong yêu cầu này có các dữ liệu, chẳng hạn như Issuer chứa ID phiên bản Workplace và NameIDPolicy đã được thống nhất trước giữa IdP và SP, quy định những hạn chế đối với thông tin nhận dạng tên dùng để hiển thị chủ thể theo yêu cầu. Workplace yêu cầu ID tên phải chứa địa chỉ email của người dùng (nameid-format:emailAddress).

3
Workplace trông đợi liên kết HTTP Post từ IdP đến SP. Mã SAML được trả về chứa các xác nhận của người dùng, kể cả trạng thái Xác thực. URL đăng lại trên Workplace (còn gọi là URL của Dịch vụ người tiêu dùng xác nhận) được lập cấu hình ở cấp độ IDP và trỏ đến điểm cuối /work/saml.php trong phiên bản Workplace của công ty.

4
Trước khi cho phép người dùng tham gia Workplace, hãy kiểm tra xem:
  • Phản hồi có được ký với chứng chỉ do IdP cấp không;
  • emailAddress được trả về trong các xác nhận SAML có khớp với địa chỉ email dùng để khởi tạo quy trình SSO không;
  • Xác thực thành công (<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>).