Tổng quan
Với tính năng Đăng nhập một lần (SSO), người dùng có thể truy cập Workplace thông qua Hệ thống cung cấp danh tính (IdP) mà bạn kiểm soát. Tính năng này sẽ mang lại cho bạn và đội ngũ của mình một số lợi ích:
- An toàn hơn: Cung cấp thêm lớp quản lý và bảo mật (không có thông tin đăng nhập nào được truyền tải qua mạng hoặc được lưu trữ bên ngoài hệ thống do công ty bạn kiểm soát).
- Dễ dàng hơn cho người dùng cuối: Đăng nhập Workplace bằng chính thông tin đăng nhập SSO dùng cho các hệ thống khác (ví dụ: ứng dụng nội bộ hoặc ứng dụng trên laptop). Vì thế, người dùng của bạn có thể truy cập Workplace mà không cần phải ghi nhớ mật khẩu khác.
Workplace được một số hệ thống cung cấp danh tính hỗ trợ trực tiếp, bao gồm Azure AD, G Suite, Okta, OneLogin, Ping Identity nhằm cung cấp các trình kết nối trực tiếp để thiết lập dễ dàng hơn.
Bật SSO cho Workplace
Sau khi bạn hoàn tất thành công quá trình cấu hình SSO bên dưới, những người dùng được cấp phép trong Workplace sẽ có thể xác thực thông qua Hệ thống cung cấp danh tính mà bạn đã chọn.
Điều kiện tiên quyếtĐiều kiện tiên quyết
Để bật tính năng xác thực SSO trong Workplace, bạn cần:
- Có quyền truy cập vào các tùy chọn cài đặt cấu hình của Hệ thống cung cấp danh tính.
- Được chỉ định vai trò Quản trị viên hệ thống trong Workplace.
- Có tài khoản tương ứng trong Hệ thống cung cấp danh tính, với địa chỉ email giống như người dùng Workplace mà bạn đăng nhập (tức là sử dụng cùng một địa chỉ email để xác thực cả trong Workplace lẫn Hệ thống cung cấp danh tính). Điều này cần thiết để thử nghiệm SSO và hoàn tất quá trình cấu hình Workplace một cách chính xác.
Hướng dẫn cấp cao
Khi bật SSO, bạn cần thực hiện một số thay đổi đối với Hệ thống cung cấp danh tính và Workplace. Có 3 giai đoạn:
Dưới đây là thông tin chi tiết về từng bước:
Lập cấu hình IdP cho SSO với Workplace1. Lập cấu hình Hệ thống cung cấp danh tính để bật SSO cho Workplace
Làm theo các hướng dẫn bên dưới của Hệ thống cung cấp danh tính để lập cấu hình SSO cho Workplace. Tất cả các Hệ thống cung cấp danh tính dựa trên đám mây mà chúng tôi hỗ trợ đều cung cấp ứng dụng được cấu hình sẵn để bạn thiết lập Workplace dễ dàng hơn:
Workplace cũng hỗ trợ ADFS dưới dạng nhà cung cấp SSO. Đọc thêm về Cách cấu hình ADFS dưới dạng nhà cung cấp SSO cho Workplace..
Tất cả các cấu hình ở trên đều cung cấp ít nhất một URL của SAML, URL của bên phát hành SAML và chứng chỉ X.509 mà chúng tôi sẽ sử dụng để lập cấu hình Workplace ở bước tiếp theo. Hãy ghi lại các thông tin này.
2. Lập cấu hình Workplace để xác thực người dùng qua SSO
Điều này liên kết giữa nhà cung cấp SSO của bạn với Workplace:
- URL của SAML
- URL của bên phát hành SAML
- Chuyển hướng đăng xuất SAML (Không bắt buộc)
- Chứng chỉ SAML

3. Bật SSO cho người dùng.
Bật SSO cho người dùng.Giờ đây, bạn có thể bật SSO cho người dùng của mình theo một trong những cách sau:
- Bật SSO cho người dùng
- Bật SSO hàng loạt cho tất cả hoặc một số người dùng của bạn
Bật SSO cho người dùng
Bạn có thể bật SSO cho người dùng bằng cách đăng nhập với tư cách Quản trị viên có quyền thêm và gỡ tài khoản:

Bật SSO hàng loạt cho tất cả hoặc một số người dùng của bạn
Bạn có thể sử dụng các cách khác nhau để bật SSO cho tất cả hoặc một nhóm nhỏ người dùng:
- Hãy sử dụng API Quản lý tài khoản để tự động cập nhật trường Phương thức đăng nhập cho một nhóm người dùng. Hầu hết các Hệ thống cung cấp danh tính tích hợp với Workplace đều dựa vào API đó để đồng bộ hóa các phần cài đặt xác thực cho tất cả người dùng của bạn trên quy mô lớn. Đọc thêm trong phần API Quản lý tài khoản.
- Phương thức đăng nhập nằm trong số các trường thông tin mà chúng tôi hỗ trợ chỉnh sửa hàng loạt. Bạn có thể đặt trường
Login method
thành SSO đối với nhóm người dùng bằng tính năng nhập bảng tính. Bạn có thể đọc thêm trong phần Quản lý hàng loạt tài khoản.
Chuyển hướng đăng xuất SAML (Không bắt buộc)
Nếu muốn, bạn có thể chọn lập cấu hình URL đăng xuất SAML trên trang cấu hình SSO được dùng để trỏ đến trang đăng xuất của Hệ thống cung cấp danh tính. Khi bật và lập cấu hình phần cài đặt này, người dùng sẽ không còn chuyển hướng đến trang đăng xuất Workplace nữa. Thay vào đó, người dùng sẽ chuyển hướng đến URL đã được thêm vào phần cài đặt Chuyển hướng đăng xuất SAML.
Tần suất xác thực lạiTần suất xác thực lại
Bạn có thể lập cấu hình Workplace để nhắc kiểm tra SAML mỗi ngày, 3 ngày một lần, mỗi tuần, 2 tuần một lần, mỗi tháng hoặc không bao giờ. Bạn cũng có thể dùng nút Buộc xác thực lại ngay để buộc tất cả người dùng đặt lại SAML.
Cấu trúc của SSO trên Workplace
Workplace hỗ trợ SAML 2.0 cho SSO thông qua việc cấp cho quản trị viên lựa chọn quản lý quyền truy cập vào nền tảng này bằng cách sử dụng Hệ thống cung cấp danh tính (IdP) mà họ kiểm soát. Workplace nhận và chấp nhận các xác nhận dựa trên SAML từ IdP và đóng vai trò là Nhà cung cấp dịch vụ (SP) SAML trong quy trình xác thực sau:
- Điền tên người dùng rồi nhấp vào nút Tiếp tụcHOẶC
- Nhấp vào nút Đăng nhập bằng SSO.
<samlp:AuthnRequest>
được chuyển qua trong yêu cầu này có các dữ liệu, chẳng hạn như Issuer
chứa ID phiên bản Workplace và NameIDPolicy
đã được thống nhất trước giữa IdP và SP, quy định những hạn chế đối với thông tin nhận dạng tên dùng để hiển thị chủ thể theo yêu cầu. Workplace yêu cầu ID tên phải chứa địa chỉ email của người dùng (nameid-format:emailAddress
). /work/saml.php
trong phiên bản Workplace của công ty.- Phản hồi có được ký với chứng chỉ do IdP cấp không;
emailAddress
được trả về trong các xác nhận SAML có khớp với địa chỉ email dùng để khởi tạo quy trình SSO không;- Xác thực thành công (
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
).