Nastavení jednotného přihlašování (SSO) Spotnana pro vašeho poskytovatele identity

OBSAH

• Nastavení jednotného přihlašování (SSO) Spotnana pro vašeho poskytovatele identity
  • Úvod
  • Požadavky před zahájením
    • SAML
    • OpenID Connect
    • Google Standard
  • Postup nastavení ve Spotnana Online Booking Tool
    • SAML
    • OpenID Connect
    • Google Standard
  • Testování 
    • Řešení potíží
  • Upozornění
    • SAML
    • OpenID Connect

Úvod

Tento návod vás provede nastavením propojení Spotnana s vaším poskytovatelem identity (IdP) pro jednotné přihlašování (SSO). Jakmile vše nastavíte, uživatelé už nebudou zadávat přihlašovací jméno a heslo do Spotnana, ale budou se přihlašovat přes SSO. Pro zprovoznění SSO ve Spotnana je potřeba projít několik jednorázových kroků, které jsou rozděleny do tří částí:

• Předběžné kroky - Podrobné informace o údajích, které je třeba předem získat od vašeho IdP. Pro SAML, OpenID Connect a Google Standard jsou samostatné sekce.

• Postup nastavení ve Spotnana Online Booking Tool (OBT) - Podrobný postup, jak propojit Spotnana s vaším IdP. Pro SAML, OpenID Connect a Google Standard jsou samostatné sekce.

• Testování - Jak ověřit, že propojení mezi Spotnana a vaším IdP funguje správně.

Požadavky před zahájením

SAML

Váš metadata soubor bude buď ve formě textu z XML dokumentu, nebo jako URL adresa, kde je tento soubor uložen. Připravte si tyto údaje ještě před zahájením nastavení. 

• Pokud používáte metadata XML, během nastavení nám poskytnete SAML XML metadata a také SAML e-mailový atribut v průběhu konfigurace v OBT (na obrazovce Zadejte informace o vaší společnosti ).. Tento e-mailový atribut by měl odpovídat e-mailové adrese uživatele.

• Pokud používáte URL adresu metadata dokumentu, během nastavení nám poskytnete Endpoint URL , kde je váš metadata dokument uložen, a také SAML e-mailový atribut v průběhu konfigurace v OBT (na obrazovce Zadejte informace o vaší společnosti ).. Tento e-mailový atribut by měl odpovídat e-mailové adrese uživatele.

OpenID Connect

Spotnana bude potřebovat následující údaje:

• Client ID – Veřejný identifikátor vašeho účtu u poskytovatele identity.

• Client Secret – Soukromý klíč, který zná jen váš poskytovatel identity, je jedinečný pro váš účet a slouží k ověření uživatelů.

• Metoda požadavku atributu (GET nebo POST) – HTTP metoda, která se používá pro získání údajů o uživateli.

• Issuer URL – URL adresa, na kterou se posílají požadavky na ověření.

• OpenID Connect e-mailový atribut – Atribut, podle kterého se identifikují jednotliví uživatelé. Tento atribut by měl odpovídat e-mailové adrese uživatele.

Google Standard

Pro tuto možnost nejsou žádné zvláštní požadavky před zahájením.

Postup nastavení ve Spotnana Online Booking Tool

SAML

Pro zahájení nastavení SSO přihlášení se přihlaste do OBT, v nabídce Společnost v sekci Program rozbalte nabídku Nastavení (vlevo) a vyberte Integrace. Poté zvolte záložku SSO a klikněte na Připojit u možnosti SAML . 

1. Objeví se obrazovka Nastavení SAML ve vašem IdP , kde najdete dvě hodnoty: ACS/Reply URL a Entity ID, které použijete pro nastavení vašeho IdP, aby přijímal požadavky a zasílal odpovědi do Spotnana. Pomocí tlačítka pro kopírování zkopírujte tyto hodnoty a vložte je do příslušných polí ve vašem IdP. Jakmile vše uložíte, klikněte na Další. Zobrazí se obrazovka Zvolte zdroj SAML metadat .  

2. Zadejte, odkud budete čerpat SAML metadata. Vyberte buď Metadata XML nebo Endpoint URL metadatového dokumentu. 

   1. Pokud zvolíte Metadata XML:

      • Budete vyzváni k vložení XML dat z vašeho IdP. Zkopírujte XML a vložte jej do příslušného pole.

        • Poznámka: Ujistěte se, že vaše XML obsahuje následující řádek:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Pokud nemůžete XML upravit ručně, nastavte ve vašem IdP možnost Vyžadovat IDP Redirect URL.

      • Zadejte svůj SAML e-mailový atribut když budete vyzváni, a klikněte na Připojit. 

   2. Pokud zvolíte Endpoint URL metadatového dokumentu:

      • Zadejte URL adresu, kde je váš metadata dokument uložen, do pole Endpoint URL .

      • Zadejte svůj SAML e-mailový atribut do příslušného pole.

3. Klikněte na Připojit a máte hotovo.

OpenID Connect

Pro zahájení nastavení SSO přihlášení se přihlaste do OBT, v nabídce Společnost v sekci Program rozbalte nabídku Nastavení (vlevo) a vyberte Integrace. Poté zvolte záložku SSO a klikněte na Připojit u možnosti OpenID Connect . 

1. Vyplňte následující pole:

   • Metoda požadavku atributu (GET nebo POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID Connect e-mailový atribut 

2. Klikněte na Připojit a máte hotovo.

Google Standard

Pro zahájení nastavení SSO přihlášení se přihlaste do OBT, v nabídce Společnost v sekci Program rozbalte nabídku Nastavení (vlevo) a vyberte Integrace. Poté zvolte záložku SSO a klikněte na Připojit u možnosti Google Standard .

Testování 

Po propojení Spotnana s vaším IdP byste měli vy i vaši uživatelé ověřit, že SSO funguje správně. Postupujte podle těchto kroků: 

1. Odhlaste se ze Spotnana.

2. Přejděte na přihlašovací stránku.

3. Zvolte možnost přihlášení přes SSO. Budete přesměrováni na přihlašovací stránku vašeho IdP.

4. Zadejte své přihlašovací údaje do IdP. Po ověření budete automaticky přesměrováni zpět do Spotnana a přihlášeni.

Poznámka: Pokud by přesměrování přes SSO některému uživateli nefungovalo, stále se může přihlásit pomocí svého uživatelského jména a hesla do Spotnana.

Pokud v Spotnana změníte jakékoli nastavení SSO, bude nutné tento testovací postup zopakovat. 

Řešení potíží

Pokud mají potíže s testováním všichni uživatelé ve vaší společnosti, zkuste následující:

• Zkontrolujte, zda jsou všechny údaje o propojení správně vyplněné ve Spotnana.

• Ověřte, že váš systém poskytovatele identity (IdP) je správně nastaven a dostupný.

Pokud se potíže týkají jen některých uživatelů, je pravděpodobné, že daní uživatelé ještě nejsou vytvořeni ve Spotnana, v IdP, nebo v obou systémech.

Upozornění

SAML

• Identifikátory: Nepodporujeme identifikátory, které slouží k přesměrování uživatelů na IdP v multitenantních aplikacích.

• Automatické odhlášení: Pokud se uživatel odhlásí z IdP, automaticky jej odhlásíme i ze Spotnana.

• Přihlášení přes SAML iniciované IdP: Vyžadujeme SAML ověření iniciované službou (SP-initiated SAML), což je doporučený postup v oboru.

• SAML podepisování a šifrování: Nepodporujeme podepisování SAML požadavků ani povinné šifrování SAML odpovědí.

OpenID Connect

• Identifikátory: Nepodporujeme identifikátory, které slouží k přesměrování uživatelů na IdP v multitenantních aplikacích.

• Získání OpenID Connect endpointů: Podporujeme pouze automatické vyplnění přes issuer URL a neumožňujeme ruční zadání endpointů. Automaticky doplníme následující: autorizační endpoint, token endpoint, userinfo endpoint a jwks_uri.