Configura l’inici de sessió únic (SSO) de Spotnana amb el teu proveïdor d’identitat

ÍNDEX

• Configura l’inici de sessió únic (SSO) de Spotnana amb el teu proveïdor d’identitat
  • Introducció
  • Requisits previs
    • SAML
    • OpenID Connect
    • Estàndard de Google
  • Passos de configuració a l’eina de reserves en línia de Spotnana
    • SAML
    • OpenID Connect
    • Estàndard de Google
  • Proves 
    • Resolució d’incidències
  • Consideracions
    • SAML
    • OpenID Connect

Introducció

Aquesta guia t’explica com configurar Spotnana perquè es pugui connectar amb el teu proveïdor d’identitat (IdP) i així utilitzar l’inici de sessió únic (SSO). Un cop hagis completat la configuració, els usuaris ja no hauran d’introduir un nom d’usuari i contrasenya específics de Spotnana, sinó que accediran directament mitjançant SSO. Per activar SSO a Spotnana, cal seguir uns passos (només cal fer-los una vegada). Els trobaràs organitzats en 3 apartats:

• Tasques prèvies — Aquí s’explica quina informació cal recollir del teu IdP abans de començar. Hi ha apartats diferenciats per a SAML, OpenID Connect i l’opció Estàndard (només per a Google).

• Passos de configuració a l’eina de reserves en línia de Spotnana (OBT) — Aquí trobaràs com configurar la connexió de Spotnana amb el teu IdP. Hi ha apartats específics per a SAML, OpenID Connect i l’opció Estàndard (només per a Google).

• Proves — T’expliquem com comprovar que la connexió entre Spotnana i el teu IdP funciona correctament.

Requisits previs

SAML

Les teves metadades es poden proporcionar com a text extret d’un document XML o bé com una URL que indica on està allotjat el fitxer de metadades. Tingues aquesta informació a mà abans de començar. 

• Si utilitzes un fitxer XML de metadades, hauràs de facilitar-nos el fitxer XML de metadades SAML i l’ atribut de correu electrònic SAML durant el procés de configuració a l’OBT (a la pantalla Introdueix la informació de la teva empresa ).. Aquest atribut de correu electrònic ha de coincidir amb l’adreça electrònica de l’usuari.

• Si utilitzes una URL del document de metadades, hauràs de facilitar-nos la URL de l’endpoint on està allotjat el fitxer de metadades i l’ atribut de correu electrònic SAML durant el procés de configuració a l’OBT (a la pantalla Introdueix la informació de la teva empresa ).. Aquest atribut de correu electrònic ha de coincidir amb l’adreça electrònica de l’usuari.

OpenID Connect

Cal que facilitis a Spotnana la informació següent:

• Client ID – Identificador públic del teu compte al proveïdor d’identitat.

• Client Secret – Clau privada que només coneix el teu proveïdor d’identitat, única per al teu compte i necessària per autenticar els usuaris.

• Mètode de consulta d’atributs (GET o POST) – El mètode HTTP que s’utilitza per obtenir les dades de l’usuari.

• Issuer URL – L’adreça URL que es fa servir per rebre les peticions d’autenticació.

• Atribut de correu electrònic d’OpenID Connect – L’atribut que identifica cada usuari. Aquest atribut ha de coincidir amb l’adreça electrònica de l’usuari.

Estàndard de Google

Per a aquesta opció de configuració, no cal cap requisit previ.

Passos de configuració a l’eina de reserves en línia de Spotnana

SAML

Per començar la configuració de la connexió SSO, accedeix a l’OBT, selecciona Empresa al menú Programa , desplega el menú Configuració (a l’esquerra) i selecciona Integració. Tot seguit, ves a la pestanya SSO i fes clic a Connecta al costat de l’opció SAML . 

1. Ara veuràs la pantalla Configuració de SAML al teu IdP . Aquí se’t proporcionaran dos valors: ACS/Reply URL i Entity ID, que hauràs d’introduir al teu IdP perquè pugui acceptar peticions i enviar respostes a Spotnana. Pots copiar aquests valors amb el botó de còpia i enganxar-los als camps corresponents del teu IdP. Quan hagis guardat els valors al teu IdP, fes clic a Següent. Apareixerà la pantalla Selecciona l’origen de les metadades SAML .  

2. Indica d’on vols obtenir el document de metadades SAML. Pots triar entre Metadades XML o bé URL de l’endpoint del document de metadades. 

   1. Si selecciones Metadades XML:

      • Se’t demanarà que facilitis les dades XML del teu IdP. Copia i enganxa el contingut XML al quadre de diàleg.

        • Nota: Assegura’t que el teu XML inclou el següent:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Si no pots editar directament el teu XML, comprova que al teu IdP estigui activada l’opció Requerir URL de redirecció de l’IdP.

      • Introdueix el teu atribut de correu electrònic SAML quan se’t demani i fes clic a Connecta. 

   2. Si selecciones URL de l’endpoint del document de metadades:

      • Introdueix la URL on tens allotjat el document de metadades al camp URL de l’endpoint .

      • Introdueix el teu atribut de correu electrònic SAML al camp corresponent.

3. Fes clic a Connecta quan hagis acabat.

OpenID Connect

Per començar la configuració de la connexió SSO, accedeix a l’OBT, selecciona Empresa al menú Programa , desplega el menú Configuració (a l’esquerra) i selecciona Integració. Tot seguit, ves a la pestanya SSO i fes clic a Connecta al costat de l’opció OpenID Connect . 

1. Introdueix els valors següents:

   • Mètode de consulta d’atributs (GET o POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • Atribut de correu electrònic d’OpenID Connect 

2. Fes clic a Connecta quan hagis acabat.

Estàndard de Google

Per començar la configuració de la connexió SSO, accedeix a l’OBT, selecciona Empresa al menú Programa , desplega el menú Configuració (a l’esquerra) i selecciona Integració. Tot seguit, ves a la pestanya SSO i fes clic a Connecta al costat de l’opció Estàndard de Google .

Proves 

Quan hagis configurat la connexió entre Spotnana i el teu IdP, tu i els teus usuaris heu de comprovar que l’SSO funciona correctament. Se’t demanarà que segueixis aquests passos: 

1. Tanca la sessió de Spotnana.

2. Accedeix a la pàgina d’inici de sessió.

3. Selecciona l’opció d’inici de sessió amb SSO. Seràs redirigit a la pàgina d’inici de sessió del teu IdP.

4. Introdueix el teu nom d’usuari i contrasenya del teu IdP. Un cop autenticat, tornaràs a Spotnana i accediràs automàticament.

Nota: Si la redirecció amb SSO no funciona per a algun usuari, aquest podrà continuar accedint amb el seu nom d’usuari i contrasenya de Spotnana.

Si modifiques qualsevol paràmetre de la connexió SSO a Spotnana, aquest procés de prova es tornarà a iniciar. 

Resolució d’incidències

Si tots els usuaris de la teva empresa tenen problemes durant la prova, comprova el següent:

• Assegura’t que totes les dades de connexió són correctes i s’han introduït bé a Spotnana.

• Comprova que el teu sistema de proveïdor d’identitat (IdP) està ben configurat i és accessible.

Si només alguns usuaris concrets tenen problemes, probablement és perquè aquests usuaris encara no existeixen ni a Spotnana ni al teu IdP, o a cap dels dos.

Consideracions

SAML

• Identificadors: No donem suport als identificadors que serveixen per redirigir usuaris a l’IdP en aplicacions multi-llogater.

• Tancament automàtic de sessió: Quan un usuari tanca la sessió al seu IdP, també el desconnectem automàticament de Spotnana.

• Inici de sessió SAML des de l’IdP: Només admetem assertions SAML iniciades pel proveïdor de serveis (SP), que és la pràctica recomanada al sector.

• Signatura i xifrat de SAML: No donem suport a la signatura de peticions SAML ni a requerir assertions SAML xifrades.

OpenID Connect

• Identificadors: No donem suport als identificadors que serveixen per redirigir usuaris a l’IdP en aplicacions multi-llogater.

• Obtenció dels endpoints d’OpenID Connect: Només donem suport a la preompliment automàtic a través de l’Issuer URL i no permetem la introducció manual dels endpoints. Els següents endpoints s’omplen automàticament: authorization endpoint, token endpoint, userinfo endpoint i jwks_uri.