Konfigurowanie jednokrotnego logowania (SSO) Spotnana dla Twojego dostawcy tożsamości

SPIS TREŚCI

• Konfigurowanie jednokrotnego logowania (SSO) Spotnana dla Twojego dostawcy tożsamości
  • Wprowadzenie
  • Wymagania wstępne
    • SAML
    • OpenID Connect
    • Google Standard
  • Kroki konfiguracji w internetowym narzędziu rezerwacyjnym Spotnana
    • SAML
    • OpenID Connect
    • Standard Google
  • Testowanie 
    • Rozwiązywanie problemów
  • Uwagi
    • SAML
    • OpenID Connect

Wprowadzenie

Poniższa instrukcja opisuje, jak skonfigurować Spotnana do połączenia z Twoim dostawcą tożsamości (IdP) w celu obsługi jednokrotnego logowania (SSO). Po zakończeniu konfiguracji użytkownicy nie będą już musieli podawać osobnego loginu i hasła do Spotnana – zamiast tego będą korzystać z SSO. Aby uruchomić SSO w Spotnana, należy wykonać kilka jednorazowych kroków, które podzieliliśmy na trzy sekcje:

• Zadania wstępne - Szczegółowe informacje, które należy wcześniej uzyskać od swojego IdP. Dla SAML, OpenID Connect oraz Standard (tylko Google) przygotowaliśmy osobne sekcje.

• Kroki konfiguracji w internetowym narzędziu rezerwacyjnym Spotnana (OBT) - Szczegółowy opis, jak połączyć Spotnana z Twoim IdP. Dla SAML, OpenID Connect oraz Standard (tylko Google) przygotowaliśmy osobne sekcje.

• Testowanie - Instrukcja, jak sprawdzić połączenie między Spotnana a Twoim IdP i upewnić się, że konfiguracja działa prawidłowo.

Wymagania wstępne

SAML

Metadane mogą być przekazane jako tekst z dokumentu XML lub jako adres URL wskazujący miejsce, w którym znajduje się plik z metadanymi. Przygotuj te dane przed rozpoczęciem konfiguracji. 

• Jeśli korzystasz z pliku metadata XML, podczas konfiguracji podasz SAML XML metadata oraz atrybut e-mail SAML w trakcie konfiguracji w OBT (na ekranie Wprowadź dane swojej firmy ). Atrybut e-mail powinien odpowiadać adresowi e-mail użytkownika.

• Jeśli korzystasz z adresu URL dokumentu z metadanymi, podczas konfiguracji podasz Endpoint URL , pod którym znajduje się Twój dokument z metadanymi oraz atrybut e-mail SAML w trakcie konfiguracji w OBT (na ekranie Wprowadź dane swojej firmy ). Ten atrybut e-mail powinien odpowiadać adresowi e-mail użytkownika.

OpenID Connect

Należy przekazać Spotnana następujące informacje:

• Client ID – publiczny identyfikator Twojego konta u dostawcy tożsamości.

• Client Secret – prywatny klucz znany tylko Twojemu dostawcy tożsamości, przypisany do Twojego konta i wykorzystywany do uwierzytelniania użytkowników.

• Sposób pobierania atrybutów (GET lub POST) – metoda HTTP używana do pobierania danych użytkownika.

• Issuer URL – adres URL służący do odbierania żądań uwierzytelnienia.

• Atrybut e-mail OpenID Connect – atrybut identyfikujący użytkownika, powinien odpowiadać adresowi e-mail użytkownika.

Google Standard

Ta opcja konfiguracji nie wymaga żadnych przygotowań.

Kroki konfiguracji w internetowym narzędziu rezerwacyjnym Spotnana

SAML

Aby rozpocząć konfigurację połączenia SSO, zaloguj się do OBT, wybierz Firma z menu Program , rozwiń menu Konfiguracja (po lewej stronie) i wybierz Integracja. Następnie przejdź do zakładki SSO i kliknij Połącz przy opcji SAML . 

1. Pojawi się ekran Konfiguracja SAML w Twoim IdP , na którym otrzymasz dwie wartości: ACS/Reply URL oraz Entity ID, które należy skopiować i wkleić w odpowiednie pola w Twoim IdP. Po zapisaniu tych danych w IdP kliknij Dalej. Pojawi się ekran Wybierz źródło metadanych SAML .  

2. Określ, skąd będą pobierane metadane SAML. Wybierz jedną z opcji: Metadata XML lub Endpoint URL dokumentu z metadanymi. 

   1. Jeśli wybrałeś Metadata XML:

      • Zostaniesz poproszony o wklejenie danych XML z Twojego IdP. Skopiuj i wklej XML do wyświetlonego okna.

        • Uwaga: Upewnij się, że Twój plik XML zawiera poniższy wpis:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Jeśli nie możesz edytować XML bezpośrednio, ustaw w IdP opcję Wymagaj IDP Redirect URL.

      • Podaj atrybut e-mail SAML gdy pojawi się odpowiednie pole i kliknij Połącz. 

   2. Jeśli wybrałeś Endpoint URL dokumentu z metadanymi:

      • W polu Endpoint URL wprowadź adres, pod którym znajduje się dokument z metadanymi.

      • Podaj atrybut e-mail SAML w odpowiednim polu.

3. Kliknij Połącz po zakończeniu.

OpenID Connect

Aby rozpocząć konfigurację SSO, zaloguj się do OBT, wybierz Firma z menu Program , rozwiń menu Konfiguracja (po lewej stronie) i wybierz Integracja. Następnie przejdź do zakładki SSO i kliknij Połącz przy opcji OpenID Connect . 

1. Uzupełnij następujące pola:

   • Sposób pobierania atrybutów (GET lub POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • Atrybut e-mail OpenID Connect 

2. Kliknij Połącz po zakończeniu.

Standard Google

Aby rozpocząć konfigurację SSO, zaloguj się do OBT, wybierz Firma z menu Program , rozwiń menu Konfiguracja (po lewej stronie) i wybierz Integracja. Następnie przejdź do zakładki SSO i kliknij Połącz przy opcji Google Standard .

Testowanie 

Po skonfigurowaniu połączenia Spotnana z IdP, Ty i Twoi użytkownicy powinniście sprawdzić, czy SSO działa prawidłowo. Należy wykonać następujące czynności: 

1. Wyloguj się ze Spotnana.

2. Przejdź do strony logowania.

3. Wybierz opcję logowania przez SSO. Zostaniesz przekierowany na stronę logowania Twojego IdP.

4. Wprowadź login i hasło do swojego IdP. Po zalogowaniu zostaniesz automatycznie przekierowany z powrotem do Spotnana i zalogowany.

Uwaga: Jeśli przekierowanie SSO nie zadziała dla któregoś z użytkowników, nadal będzie on mógł zalogować się przy użyciu loginu i hasła Spotnana.

Jeśli zmienisz ustawienia połączenia SSO w Spotnana, ten proces testowy zostanie powtórzony. 

Rozwiązywanie problemów

Jeśli wszyscy użytkownicy w Twojej firmie napotykają problemy podczas testowania, sprawdź:

• Czy wszystkie dane połączenia zostały poprawnie wprowadzone do Spotnana.

• Czy system Twojego dostawcy tożsamości (IdP) jest poprawnie skonfigurowany i dostępny.

Jeśli problemy dotyczą tylko pojedynczych użytkowników, prawdopodobnie nie zostali oni jeszcze dodani do Spotnana, IdP lub obu tych systemów.

Uwagi

SAML

• Identyfikatory: Nie obsługujemy identyfikatorów służących do przekierowania użytkowników do IdP w aplikacjach wielodostępnych (multi-tenant).

• Automatyczne wylogowanie: Użytkownik zostanie automatycznie wylogowany ze Spotnana, gdy wyloguje się ze swojego IdP.

• Logowanie SAML inicjowane przez IdP: Wymagamy, aby logowanie SAML było inicjowane przez usługę (SP), co jest zgodne z najlepszymi praktykami branżowymi.

• Podpisywanie i szyfrowanie SAML: Nie obsługujemy podpisywania żądań SAML ani wymogu szyfrowania asercji SAML.

OpenID Connect

• Identyfikatory: Nie obsługujemy identyfikatorów służących do przekierowania użytkowników do IdP w aplikacjach wielodostępnych (multi-tenant).

• Pobieranie endpointów OpenID Connect: Obsługujemy wyłącznie autouzupełnianie przez issuer URL i nie pozwalamy na ręczne wprowadzanie adresów endpointów. Automatycznie uzupełniamy: authorization endpoint, token endpoint, userinfo endpoint oraz jwks_uri.