Xác thực

Tìm hiểu về các tùy chọn cho phép người dùng truy cập Workplace.

Nội dung

Tổng quan

Tổng quan

Với phương thức Đăng nhập một lần (SSO), người dùng có thể truy cập Workplace thông qua Nhà cung cấp danh tính (IdP) mà bạn kiểm soát. Phương thức này sẽ mang lại cho bạn và đội ngũ của bạn một số lợi ích sau:

  • An toàn hơn: Cung cấp thêm một lớp quản lý và bảo mật (không có thông tin đăng nhập nào được truyền tải qua mạng hoặc được lưu trữ bên ngoài hệ thống do công ty kiểm soát).
  • Dễ dàng hơn cho người dùng cuối: Đăng nhập Workplace bằng chính thông tin đăng nhập SSO dùng cho các hệ thống khác (ví dụ: ứng dụng nội bộ hoặc ứng dụng trên máy tính xách tay), vì thế người dùng của bạn có thể truy cập Workplace mà không cần phải ghi nhớ mật khẩu khác.

Workplace được hỗ trợ trực tiếp bởi một số nhà cung cấp danh tính, bao gồm Azure AD, G Suite, Okta, OneLogin, Ping Identity. Họ cung cấp các công cụ kết nối trực tiếp để quá trình thiết lập diễn ra dễ dàng hơn.

?
Workplace hỗ trợ SAML (Ngôn ngữ đánh dấu xác nhận bảo mật) 2.0 cho SSO. Đây là một tiêu chuẩn của ngành nên chúng tôi có khả năng tích hợp dễ dàng với bất kỳ Nhà cung cấp danh tính nào hỗ trợ SAML 2.0, ngay cả khi Nhà cung cấp đó không được liệt kê trên trang này, hay thậm chí là tạo ra hoạt động triển khai SSO của riêng bạn.

Bật SSO cho Workplace

Sau khi bạn hoàn tất thành công quá trình cấu hình SSO bên dưới, những người dùng được cấp phép trong Workplace sẽ có thể xác thực thông qua Nhà cung cấp danh tính mà bạn đã chọn.

Điều kiện tiên quyết

Điều kiện tiên quyết

Để bật tính năng xác thực SSO trong Workplace, bạn cần:

  • Có quyền truy cập vào các tùy chọn cài đặt cấu hình của Nhà cung cấp danh tính.
  • Được chỉ định vai trò Quản trị viên hệ thống trong Workplace.
  • Có tài khoản tương ứng trong hệ thống của Nhà cung cấp danh tính với địa chỉ email giống như người dùng Workplace mà bạn đăng nhập (tức là sử dụng cùng một địa chỉ email để xác thực cả trong Workplace và trong hệ thống của Nhà cung cấp danh tính). Điều này cần thiết để thử nghiệm SSO và hoàn tất đúng cách quá trình cấu hình Workplace.
?
Workplace hỗ trợ một Nhà cung cấp danh tính cho SSO trong mỗi phiên bản. Điều này nghĩa là để bật SSO cho mọi người dùng, bạn phải có một Nhà cung cấp danh tính chung cho SSO. Ngoài ra, chúng tôi còn hỗ trợ trường hợp xác thực kết hợp, theo đó một số người dùng sẽ xác thực bằng SSO và những người dùng khác sẽ xác thực bằng thông tin đăng nhập là tên người dùng và mật khẩu Workplace.

Hướng dẫn cấp cao

Khi bật SSO, bạn cần thực hiện một số thay đổi đối với Nhà cung cấp danh tính và Workplace. Cấu hình có thể khác nhau tùy theo Nhà cung cấp danh tính nhưng dưới đây là nội dung tóm tắt các bước cần thực hiện:

1
Cấu hình Nhà cung cấp danh tính (IdP) để bật SSO cho Workplace.

2
Cấu hình Workplace để xác thực người dùng qua SSO.

3
Bật SSO cho người dùng.

Dưới đây là thông tin tổng quan chi tiết về từng bước:

Cấu hình Nhà cung cấp danh tính cho phương thức SSO sử dụng với Workplace

1. Cấu hình Nhà cung cấp danh tính (IdP) để bật SSO cho Workplace

Làm theo các hướng dẫn bên dưới của Nhà cung cấp danh tính để cấu hình SSO cho Workplace. Tất cả các Nhà cung cấp danh tính qua đám mây mà chúng tôi hỗ trợ đều cung cấp ứng dụng cấu hình sẵn để bạn thiết lập Workplace dễ dàng hơn:

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace cũng hỗ trợ Active Directory Federation Service (ADFS) dưới dạng nhà cung cấp SSO. Bạn có thể đọc thêm thông tin về Cách cấu hình ADFS dưới dạng nhà cung cấp SSO cho Workplace..

Tất cả các cấu hình ở trên đều cung cấp ít nhất một URL của SAML, URL của bên phát hành SAMLchứng chỉ X.509 mà chúng tôi sẽ sử dụng để cấu hình Workplace ở bước tiếp theo. Vui lòng ghi lại các thông tin này.

?
Đối với chứng chỉ X.509, bạn có thể cần phải mở chứng chỉ đã tải xuống trong công cụ chỉnh sửa văn bản để sử dụng ở bước tiếp theo.
Cấu hình Workplace để xác thực người dùng qua SSO

2. Cấu hình Workplace để xác thực người dùng qua SSO

Sau khi bạn thực hiện theo quy trình thiết lập của Nhà cung cấp danh tính:

1
Đi tới Bảng điều khiển quản trị rồi chuyển đến phần Bảo mật.

2
Chuyển đến tab Xác thực.

3
Đánh dấu vào ô Đăng nhập một lần (SSO).

4
Nhập các giá trị của Nhà cung cấp danh tính vào trường tương ứng:
  • URL của SAML
  • URL của bên phát hành SAML
  • Chuyển hướng đăng xuất SAML (Không bắt buộc)
  • Chứng chỉ SAML

5
Tùy theo Nhà cung cấp danh tính, bạn có thể cần phải sao chép các giá trị cho URL đối tượng, URL người nhậnURL ACS (Dịch vụ người tiêu dùng xác nhận) nêu trong phần Cấu hình SAML, sau đó cấu hình Nhà cung cấp danh tính theo đó.

6
Cuộn xuống cuối phần này và nhấp vào nút Thử nghiệm SSO. Khi đó, một cửa sổ bật lên sẽ xuất hiện với trang đăng nhập của Nhà cung cấp danh tính. Nhập thông tin đăng nhập của bạn để xác thực.

?
Khắc phục sự cố: Đảm bảo địa chỉ email dùng để xác thực với Nhà cung cấp danh tính giống với tài khoản Workplace mà bạn đã đăng nhập.

7
Sau khi hoàn tất thử nghiệm thành công, hãy cuộn xuống cuối trang và nhấp vào nút Lưu.

3. Bật phương thức đăng nhập một lần (SSO) cho người dùng

Bật phương thức đăng nhập một lần (SSO) cho người dùng

Tùy theo cách bạn chọn cấu hình phương thức xác thực cho phiên bản của mình:

  • Bật SSO cho một người dùng. Bạn có thể bật SSO cho người dùng bằng cách đăng nhập với tư cách Quản trị viên có quyền thêm và gỡ tài khoản. Sau đó, hoàn tất các bước sau để thay đổi các tùy chọn cài đặt SSO cho người dùng:

    1
    Đi tới Bảng điều khiển quản trị rồi chuyển đến phần Mọi người.

    2
    Tìm kiếm người dùng mà bạn muốn thay đổi các tùy chọn cài đặt xác thực.

    3
    Nhấp vào nút ... rồi chọn Chỉnh sửa chi tiết của nhân viên.

    4
    Đổi trường Đăng nhập bằng thành SSO.
  • Bật SSO cho tất cả người dùng Workplace. Bạn có thể bật SSO cho tất cả người dùng bằng cách đăng nhập với tư cách Quản trị viên có vai trò Quản trị viên hệ thống. Sau khi đăng nhập, bạn có thể hoàn tất các bước sau để thay đổi các tùy chọn cài đặt SSO cho tất cả người dùng Workplace của mình.

    1
    Đi tới Bảng điều khiển quản trị rồi chuyển đến phần Bảo mật.

    2
    Chuyển đến tab Xác thực.

    3
    Nếu muốn chuyển tất cả người dùng thành SSO, hãy bỏ đánh dấu ô Mật khẩu.
  • Bật SSO cho một phần người dùng. Bạn có thể sử dụng những cách khác nhau để chỉ bật SSO cho một nhóm nhỏ người dùng.

    Phương thức đăng nhập là một trong số các trường chúng tôi hỗ trợ chỉnh sửa hàng loạt. Bạn có thể dùng tính năng nhập csv để đặt Phương thức đăng nhập thành SSO cho một nhóm người dùng. Bạn có thể đọc thêm thông tin trong phần Quản lý hàng loạt tài khoản.

    Hoặc, bạn có thể sử dụng API Quản lý tài khoản của chúng tôi để tự động cập nhật Phương thức đăng nhập cho một nhóm người dùng. Bạn có thể đọc thêm thông tin trong phần API Quản lý tài khoản.

Chuyển hướng đăng xuất SAML

Chuyển hướng đăng xuất SAML (Không bắt buộc)

Nếu muốn, bạn có thể chọn cấu hình URL đăng xuất SAML trên trang cấu hình SSO. URL này có thể dùng để trỏ đến trang đăng xuất của Nhà cung cấp danh tính. Khi bật và cấu hình tùy chọn cài đặt này, người dùng sẽ không được chuyển hướng đến trang đăng xuất của Workplace nữa. Thay vào đó, người dùng sẽ được chuyển hướng đến URL đã được thêm trong tùy chọn cài đặt Chuyển hướng đăng xuất SAML.

Tần suất xác thực lại

Tần suất xác thực lại

Bạn có thể cấu hình Workplace để nhắc kiểm tra SAML hàng ngày, 3 ngày một lần, mỗi tuần một lần, 2 tuần một lần, mỗi tháng một lần hoặc không bao giờ. Bạn cũng có thể dùng nút Buộc xác thực lại ngay để buộc tất cả người dùng đặt lại SAML.

Kiến trúc của phương thức đăng nhập một lần (SSO) trên Workplace

Kiến trúc của phương thức đăng nhập một lần (SSO) trên Workplace

?
Phần này cung cấp thông tin tổng quan chi tiết hơn về quy trình SSO mà Workplace hỗ trợ. Các giải pháp SSO tùy chỉnh dựa trên SAML phải tuân thủ những nguyên tắc nêu trên để có thể tích hợp với Workplace trong quy trình xác thực.

Workplace hỗ trợ SAML 2.0 cho SSO thông qua việc cấp cho quản trị viên tùy chọn quản lý quyền truy cập vào nền tảng này bằng cách sử dụng Nhà cung cấp danh tính (IdP) mà họ kiểm soát. Workplace nhận và chấp nhận các xác nhận dựa trên SAML từ IdP và đóng vai trò là Nhà cung cấp dịch vụ (SP) SAML trong quy trình xác thực sau:

1
SSO khởi tạo bởi SP. Một người dùng được bật SSO truy cập trang đăng nhập Workplace, sau đó:
  • Điền tên người dùng rồi nhấp vào nút Tiếp tụcHOẶC
  • Nhấp vào nút Đăng nhập bằng SSO.

2
Workplace liên kết phương thức Chuyển hướng HTTP từ SP tới IdP. Đối tượng <samlp:AuthnRequest> được chuyển qua trong yêu cầu này có các dữ liệu, chẳng hạn như Issuer (chứa ID phiên bản Workplace) và NameIDPolicy (đã được thống nhất trước giữa IdP và SP), quy định những hạn chế đối với số nhận dạng tên dùng để hiển thị chủ thể đã yêu cầu. Workplace yêu cầu ID tên phải chứa địa chỉ email của người dùng (nameid-format:emailAddress).

3
Workplace trông đợi liên kết HTTP Post từ IdP tới SP. Mã SAML được trả về chứa các xác nhận của người dùng, kể cả trạng thái Xác thực. URL trả về trên Workplace (còn gọi là URL của Dịch vụ người tiêu dùng xác nhận) được cấu hình ở cấp độ IDP và trỏ tới điểm cuối /work/saml.php trên phiên bản Workplace của công ty.

4
Trước khi cho phép người dùng tham gia Workplace, hãy kiểm tra xem:
  • Phản hồi có được ký với chứng chỉ do IdP cấp không;
  • emailAddress được trả về trong các xác nhận SAML có khớp với địa chỉ email dùng để khởi tạo quy trình SSO không;
  • Xác thực thành công (<samlp:​StatusCode Value="urn:​oasis:​names:​tc:​SAML​:2.0:​status:Success"/>).