הגדרת כניסה מאובטחת אחת (SSO) של Spotnana עבור ספק הזהות שלכם

תוכן העניינים

• הגדרת כניסה מאובטחת אחת (SSO) של Spotnana עבור ספק הזהות שלכם
  • מבוא
  • דרישות מקדימות
    • SAML
    • OpenID Connect
    • Google Standard
  • שלבי הגדרה במערכת ההזמנות המקוונת של Spotnana
    • SAML
    • OpenID Connect
    • Google Standard
  • בדיקה 
    • פתרון תקלות
  • הערות חשובות
    • SAML
    • OpenID Connect

מבוא

ההנחיות הבאות מסבירות כיצד להגדיר את Spotnana כך שתתחבר לספק הזהות (IdP) שלכם ותאפשר כניסה מאובטחת אחת (SSO). לאחר השלמת ההגדרה, המשתמשים שלכם לא יצטרכו עוד להזין שם משתמש וסיסמה ייעודיים ל-Spotnana, אלא יוכלו להיכנס באמצעות SSO. כדי להפעיל את SSO ב-Spotnana, יש לבצע מספר שלבים (פעם אחת בלבד). השלבים מחולקים לשלושה חלקים:

• משימות מקדימות - פירוט המידע שעליכם לאסוף מספק הזהות שלכם מראש. יש הסברים נפרדים עבור SAML, OpenID Connect ו-Google Standard.

• שלבי הגדרה במערכת ההזמנות המקוונת (OBT) של Spotnana - הסבר מפורט כיצד להגדיר את החיבור בין Spotnana לספק הזהות שלכם. יש הסברים נפרדים עבור SAML, OpenID Connect ו-Google Standard.

• בדיקה - הסבר כיצד לבדוק שהחיבור בין Spotnana לספק הזהות שלכם פועל כראוי.

דרישות מקדימות

SAML

המידע הנדרש יתקבל מכם או כטקסט מתוך קובץ XML, או ככתובת URL שמפנה למיקום שבו מאוחסן קובץ המטא-דאטה שלכם. הכינו את המידע הזה מראש לפני תחילת ההגדרה. 

• אם אתם משתמשים ב- קובץ מטא-דאטה XML, תידרשו להעביר לנו את מטא-דאטה SAML בפורמט XML ואת מאפיין הדוא"ל של SAML במהלך תהליך ההגדרה ב-OBT (במסך הזנת פרטי החברה שלכם ). מאפיין הדוא"ל צריך להתאים לכתובת הדוא"ל של המשתמש.

• אם אתם משתמשים ב- כתובת URL של מסמך מטא-דאטה, תידרשו להעביר לנו את כתובת ה-URL שבה מאוחסן מסמך המטא-דאטה שלכם ואת מאפיין הדוא"ל של SAML במהלך תהליך ההגדרה ב-OBT (במסך הזנת פרטי החברה שלכם ). גם כאן, מאפיין הדוא"ל צריך להתאים לכתובת הדוא"ל של המשתמש.

OpenID Connect

יש להעביר ל-Spotnana את הפרטים הבאים:

• Client ID – מזהה ציבורי של ספק הזהות עבור החשבון שלכם.

• Client Secret – מפתח פרטי שמוכר רק לספק הזהות שלכם, ייחודי לחשבון שלכם, ומשמש לאימות משתמשים.

• שיטת בקשת המאפיינים (GET או POST) – שיטת HTTP שבאמצעותה נמשכים פרטי המשתמש.

• Issuer URL – כתובת ה-URL שממנה מתקבלות בקשות האימות.

• מאפיין הדוא"ל של OpenID Connect – המאפיין שמזהה כל משתמש. יש לוודא שהוא תואם לכתובת הדוא"ל של המשתמש.

Google Standard

לא נדרשות הכנות מוקדמות לאפשרות הגדרה זו.

שלבי הגדרה במערכת ההזמנות המקוונת של Spotnana

SAML

כדי להתחיל בהגדרת החיבור ל-SSO, התחברו ל-OBT, בחרו ב- חברה מתוך תפריט תוכנית , הרחיבו את תפריט הגדרות (בצד שמאל) ובחרו ב- אינטגרציה. לאחר מכן עברו ללשונית SSO ולחצו על התחבר לצד האפשרות SAML . 

1. יופיע המסך הגדרת SAML בספק הזהות שלכם . במסך זה תמצאו שני ערכים: ACS/Reply URL ו- Entity ID, שישמשו אתכם בהגדרת ספק הזהות כך שיקבל בקשות מאיתנו וישלח אלינו תשובות. השתמשו בכפתור ההעתקה כדי להעתיק כל ערך ולהדביק אותו בשדה המתאים בספק הזהות שלכם. לאחר ששמרתם את הערכים, לחצו על הבא. יופיע המסך בחירת מקור מטא-דאטה SAML .  

2. בחרו את מקור קובץ המטא-דאטה שלכם – מטא-דאטה XML או כתובת קצה של מסמך מטא-דאטה. 

   1. אם בחרתם ב- מטא-דאטה XML:

      • תתבקשו להדביק את נתוני ה-XML מספק הזהות שלכם. העתיקו את הנתונים והדביקו אותם בתיבת הדו-שיח.

        • לתשומת לבכם: יש לכלול ב-XML את השורה הבאה:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          אם אינכם יכולים לערוך את ה-XML ישירות, ודאו שספק הזהות מוגדר לדרוש Redirect URL של ספק הזהות (IDP).

      • הזינו את מאפיין הדוא"ל של SAML כאשר תתבקשו ולחצו על התחבר. 

   2. אם בחרתם ב- כתובת קצה של מסמך מטא-דאטה:

      • הזינו את כתובת ה-URL שבה מאוחסן מסמך המטא-דאטה בשדה כתובת קצה (Endpoint URL) .

      • הזינו את מאפיין הדוא"ל של SAML בשדה המתאים.

3. לחצו על התחבר בסיום.

OpenID Connect

כדי להתחיל בהגדרת החיבור ל-SSO, התחברו ל-OBT, בחרו ב- חברה מתוך תפריט תוכנית , הרחיבו את תפריט הגדרות (בצד שמאל) ובחרו ב- אינטגרציה. לאחר מכן עברו ללשונית SSO ולחצו על התחבר לצד האפשרות OpenID Connect . 

1. הזינו את הערכים עבור השדות הבאים:

   • שיטת בקשת מאפיינים (GET או POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • מאפיין הדוא"ל של OpenID Connect 

2. לחצו על התחבר בסיום.

Google Standard

כדי להתחיל בהגדרת החיבור ל-SSO, התחברו ל-OBT, בחרו ב- חברה מתוך תפריט תוכנית , הרחיבו את תפריט הגדרות (בצד שמאל) ובחרו ב- אינטגרציה. לאחר מכן עברו ללשונית SSO ולחצו על התחבר לצד האפשרות Google Standard .

בדיקה 

לאחר שהשלמתם את הגדרת החיבור בין Spotnana לספק הזהות שלכם, מומלץ לבדוק שה-SSO פועל כראוי. תתבקשו לבצע את הצעדים הבאים: 

1. התנתקו מ-Spotnana.

2. גשו לעמוד הכניסה.

3. בחרו באפשרות כניסה עם SSO. תועברו לעמוד הכניסה של ספק הזהות שלכם.

4. הזינו את שם המשתמש והסיסמה שלכם לספק הזהות. לאחר מכן תועברו חזרה ל-Spotnana ותיכנסו אוטומטית.

לתשומת לבכם: אם ההפניה ל-SSO לא עובדת עבור משתמש מסוים, הוא עדיין יוכל להיכנס עם שם המשתמש והסיסמה הרגילים של Spotnana.

אם תשנו את הגדרות חיבור ה-SSO ב-Spotnana, תהליך הבדיקה יתחיל מחדש. 

פתרון תקלות

אם כל המשתמשים בארגון נתקלים בבעיות בשלב הבדיקה, מומלץ לבדוק את הדברים הבאים:

• ודאו שכל פרטי החיבור נכונים והוזנו כראוי ב-Spotnana.

• ודאו שמערכת ספק הזהות (IdP) מוגדרת נכון וניתנת לגישה.

אם רק משתמשים בודדים בארגון חווים בעיות, ייתכן שהם עדיין לא קיימים ב-Spotnana, בספק הזהות או בשניהם.

הערות חשובות

SAML

• מזהים: אין לנו תמיכה במזהים שמשמשים להפניה לספק הזהות (IdP) באפליקציות מרובות דיירים.

• התנתקות אוטומטית: ברגע שמשתמש מתנתק מספק הזהות, הוא מתנתק אוטומטית גם מ-Spotnana.

• כניסה ל-SAML שמתחילה מה-IdP: ב-Spotnana נדרש שימוש באימות SAML שמתחיל מהשירות (SP-initiated), בהתאם להמלצות המקובלות בתעשייה.

• חתימה והצפנת SAML: אין תמיכה בחתימה על בקשות SAML או בדרישה לאימות SAML מוצפן.

OpenID Connect

• מזהים: אין לנו תמיכה במזהים שמשמשים להפניה לספק הזהות (IdP) באפליקציות מרובות דיירים.

• שליפת נקודות קצה של OpenID Connect: אנו תומכים אך ורק ב- מילוי אוטומטי דרך כתובת ה-issuer ולא מאפשרים הזנה ידנית של נקודות קצה. אנו ממלאים אוטומטית את נקודות הקצה הבאות: authorization endpoint, token endpoint, userinfo endpoint ו-jwks_uri.