Spotnanan kertakirjautumisen (SSO) käyttöönotto oman tunnistautumispalvelusi kanssa

SISÄLLYSLUETTELO

• Spotnanan kertakirjautumisen (SSO) käyttöönotto oman tunnistautumispalvelusi kanssa
  • Johdanto
  • Edellytykset
    • SAML
    • OpenID Connect
    • Google Standard
  • Spotnanan Online Booking Tool -järjestelmän määritysvaiheet
    • SAML
    • OpenID Connect
    • Googlen Standard
  • Testaus 
    • Vianmääritys
  • Huomioitavaa
    • SAML
    • OpenID Connect

Johdanto

Tässä ohjeessa käydään läpi, kuinka Spotnana liitetään omaan tunnistautumispalveluusi (IdP), jotta kertakirjautuminen (SSO) voidaan ottaa käyttöön. Kun määritys on tehty, käyttäjät eivät enää tarvitse erillistä Spotnanan käyttäjätunnusta ja salasanaa, vaan kirjautuminen tapahtuu SSO:n kautta. SSO:n käyttöönotto Spotnanassa vaatii muutaman vaiheen, jotka tehdään vain kerran. Ohjeessa vaiheet on jaettu kolmeen osaan:

• Edellytettävät toimenpiteet - Ohjeet siitä, mitä tietoja sinun tulee kerätä tunnistautumispalvelustasi etukäteen. SAML-, OpenID Connect- ja Google Standard -määrityksille on omat osionsa.

• Spotnanan Online Booking Toolin määritysvaiheet - Ohjeet Spotnanan ja oman tunnistautumispalvelusi liittämiseen. SAML-, OpenID Connect- ja Google Standard -määrityksille on omat osionsa.

• Testaus - Ohjeet, kuinka voit testata yhteyden Spotnanan ja tunnistautumispalvelun välillä ja varmistaa, että määritys toimii oikein.

Edellytykset

SAML

Metatietosi toimitetaan joko XML-muotoisena tekstinä tai URL-osoitteena, josta metatiedot löytyvät. Varmista, että nämä tiedot ovat valmiina ennen kuin aloitat. 

• Jos käytät metatieto-XML:ää, sinun tulee toimittaa meille SAML XML -metatiedot sekä SAML-sähköpostiattribuutti määritysvaiheessa OBT:ssä (kohdassa Syötä yrityksesi tiedot näytöllä). Sähköpostiattribuutin tulee vastata käyttäjän sähköpostiosoitetta.

• Jos käytät metatietodokumentin URL-osoitetta, sinun tulee toimittaa meille Endpoint URL jossa metatietodokumenttisi sijaitsee sekä SAML-sähköpostiattribuutti määritysvaiheessa OBT:ssä (kohdassa Syötä yrityksesi tiedot näytöllä). Sähköpostiattribuutin tulee vastata käyttäjän sähköpostiosoitetta.

OpenID Connect

Sinun tulee toimittaa Spotnanaan seuraavat tiedot:

• Client ID – tunnistautumispalvelusi julkinen tunniste tilillesi.

• Client Secret – yksityinen avain, joka on vain tunnistautumispalvelusi tiedossa ja jolla käyttäjät tunnistetaan.

• Attribuuttien hakutapa (GET tai POST) – HTTP-metodi, jolla käyttäjätiedot haetaan.

• Issuer URL – osoite, johon kirjautumispyynnöt lähetetään.

• OpenID Connect -sähköpostiattribuutti – kenttä, josta yksittäinen käyttäjä tunnistetaan. Tämän tulee olla käyttäjän sähköpostiosoite.

Google Standard

Tämä määritysvaihtoehto ei vaadi ennakkotoimia.

Spotnanan Online Booking Toolin määritysvaiheet

SAML

Aloita SSO-yhteyden määritys kirjautumalla OBT:hen, valitse Yritys [kohdasta Ohjelma valikosta, laajenna Määritykset valikko (vasemmalla) ja valitse Integraatiot. Valitse tämän jälkeen SSO välilehti ja napsauta Yhdistä SAML- vaihtoehdon vierestä. option. 

1. Sinulle avautuu SAML:n määritys tunnistautumispalvelussasi näyttö, josta saat kaksi arvoa: ACS/Reply URL ja Entity ID, jotka tarvitaan, jotta tunnistautumispalvelusi hyväksyy pyynnöt ja palauttaa vastaukset meille. Kopioi nämä arvot leikepöydälle ja liitä ne tunnistautumispalvelusi vastaaviin kenttiin. Kun olet tallentanut arvot tunnistautumispalveluun, napsauta Seuraava. Valitse SAML-lähde näyttö avautuu.  

2. Määritä, mistä SAML-metatietodokumenttisi haetaan. Valitse joko Metatieto-XML tai Metatietodokumentin endpoint-URL. 

   1. Jos valitsit Metatieto-XML:n:

      • Sinua pyydetään liittämään tunnistautumispalvelusi XML-tiedot. Kopioi ja liitä XML-tiedot avautuvaan kenttään.

        • Huom! Varmista, että XML:ssä on mukana seuraava rivi:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Jos et voi muokata XML-tiedostoa suoraan, varmista että tunnistautumispalvelusi on asetettu käyttämään Require IDP Redirect URL.

      • Syötä SAML-sähköpostiattribuutti pyydettäessä ja napsauta Yhdistä. 

   2. Jos valitsit Metatietodokumentin endpoint-URL:n:

      • Syötä kenttään Endpoint URL osoite, jossa metatietodokumenttisi sijaitsee.

      • Syötä SAML-sähköpostiattribuutti oikeaan kenttään.

3. Napsauta Yhdistä kun olet valmis.

OpenID Connect

Aloita SSO-yhteyden määritys kirjautumalla OBT:hen, valitse Yritys [kohdasta Ohjelma valikosta, laajenna Määritykset valikko (vasemmalla) ja valitse Integraatiot. Valitse tämän jälkeen SSO välilehti ja napsauta Yhdistä OpenID Connect - vaihtoehdon vierestä. option. 

1. Täytä seuraavat kentät:

   • Attribuuttien hakutapa (GET tai POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID Connect -sähköpostiattribuutti 

2. Napsauta Yhdistä kun olet valmis.

Googlen Standard

Aloita SSO-yhteyden määritys kirjautumalla OBT:hen, valitse Yritys [kohdasta Ohjelma valikosta, laajenna Määritykset valikko (vasemmalla) ja valitse Integraatiot. Valitse tämän jälkeen SSO välilehti ja napsauta Yhdistä Google Standard - vaihtoehdon vierestä. option.

Testaus 

Kun Spotnanan ja tunnistautumispalvelun välinen yhteys on määritetty, sinun ja käyttäjiesi tulee testata, että SSO toimii oikein. Testausvaiheessa sinua pyydetään tekemään seuraavat toimet: 

1. Kirjaudu ulos Spotnanasta.

2. Siirry kirjautumissivulle.

3. Valitse SSO-kirjautumisvaihtoehto. Sinut ohjataan oman tunnistautumispalvelusi kirjautumissivulle.

4. Syötä tunnistautumispalvelusi käyttäjätunnus ja salasana. Sinut ohjataan takaisin Spotnanaan ja kirjaudut sisään automaattisesti.

Huom! Jos SSO-uudelleenohjaus ei toimi jollain käyttäjällä, hän voi silti kirjautua sisään Spotnanan omalla käyttäjätunnuksella ja salasanalla.

Jos muutat SSO-yhteyden asetuksia Spotnanassa, testausprosessi käynnistyy uudelleen. 

Vianmääritys

Jos kaikilla yrityksesi käyttäjillä ilmenee ongelmia testausvaiheessa, kokeile seuraavia keinoja:

• Varmista, että kaikki yhteystiedot on syötetty oikein Spotnanaan.

• Varmista, että tunnistautumispalvelusi (IdP) on määritetty oikein ja että siihen on yhteys.

Jos vain muutamalla yksittäisellä käyttäjällä ilmenee ongelmia, kyseiset käyttäjät eivät todennäköisesti ole vielä olemassa Spotnanassa, tunnistautumispalvelussa tai molemmissa.

Huomioitavaa

SAML

• Tunnisteet: Emme tue tunnisteita, joita käytetään käyttäjien uudelleenohjaukseen tunnistautumispalveluun moniasiakassovelluksissa.

• Automaattinen uloskirjautuminen: Kirjaamme käyttäjän automaattisesti ulos Spotnanasta, kun hän kirjautuu ulos tunnistautumispalvelustaan.

• IdP-aloitteinen SAML-kirjautuminen: Edellytämme SP-aloitteisia SAML-väittämiä (toimialan paras käytäntö).

• SAML-allekirjoitus ja salaus: Emme tue SAML-pyyntöjen allekirjoitusta tai SAML-väitteiden salausta.

OpenID Connect

• Tunnisteet: Emme tue tunnisteita, joita käytetään käyttäjien uudelleenohjaukseen tunnistautumispalveluun moniasiakassovelluksissa.

• OpenID Connect -päätepisteiden haku: Tuen piirissä on vain Automaattinen täyttö issuer URL:n kautta emmekä salli käsinsyöttöä päätepisteille. Täytämme automaattisesti seuraavat: authorization endpoint, token endpoint, userinfo endpoint ja jwks_uri.