Настройка единого входа (SSO) Spotnana для вашего провайдера идентификации

СОДЕРЖАНИЕ

• Настройка единого входа (SSO) Spotnana для вашего провайдера идентификации
  • Введение
  • Что потребуется заранее
    • SAML
    • OpenID Connect
    • Google Standard
  • Шаги настройки в онлайн-системе бронирования Spotnana
    • SAML
    • OpenID Connect
    • Стандарт Google
  • Тестирование 
    • Устранение неполадок
  • Особенности
    • SAML
    • OpenID Connect

Введение

В этом руководстве показано, как подключить Spotnana к вашему провайдеру идентификации (IdP) для работы с единым входом (SSO). После настройки пользователям больше не нужно будет вводить отдельный логин и пароль для Spotnana — вход будет осуществляться через SSO. Чтобы всё работало, потребуется выполнить несколько шагов (один раз). Все шаги разбиты на 3 раздела:

• Что нужно подготовить заранее - Подробно указано, какую информацию вам нужно получить у вашего IdP до начала настройки. Для SAML, OpenID Connect и Google приведены отдельные инструкции.

• Шаги настройки в онлайн-системе бронирования Spotana (OBT) - Пошаговая инструкция по подключению Spotnana к вашему IdP. Для SAML, OpenID Connect и Google приведены отдельные разделы.

• Тестирование - Как проверить соединение между Spotnana и вашим IdP и убедиться, что всё работает корректно.

Что потребуется заранее

SAML

Метаданные могут быть предоставлены либо в виде текста из XML-файла, либо как ссылка на размещённый у вас файл метаданных. Подготовьте всё необходимое заранее, до начала настройки. 

• Если вы используете XML-файл метаданных, вам нужно будет предоставить SAML XML-метаданные и атрибут электронной почты SAML на этапе настройки в OBT (на экране Введите информацию о вашей компании ).. Атрибут электронной почты должен совпадать с адресом пользователя.

• Если вы используете URL документа метаданных, потребуется указать Endpoint URL где размещён ваш файл метаданных, и атрибут электронной почты SAML на этапе настройки в OBT (на экране Введите информацию о вашей компании ).. Этот атрибут электронной почты также должен совпадать с адресом пользователя.

OpenID Connect

Для настройки Spotnana потребуется предоставить следующую информацию:

• Client ID — публичный идентификатор вашей организации у провайдера идентификации.

• Client Secret — уникальный секретный ключ, который знает только ваш IdP и который используется для аутентификации пользователей.

• Метод запроса атрибутов (GET или POST) — HTTP-метод, с помощью которого запрашиваются данные пользователя.

• Issuer URL — адрес, по которому принимаются запросы на аутентификацию.

• Атрибут электронной почты OpenID Connect — поле, по которому определяется пользователь. Этот атрибут должен содержать адрес электронной почты пользователя.

Google Standard

Для этой опции настройки ничего заранее готовить не нужно.

Шаги настройки в онлайн-системе бронирования Spotnana

SAML

Чтобы начать настройку SSO, войдите в OBT, выберите Компания в меню Программа , затем откройте Конфигурация в левом меню и выберите Интеграция. Далее перейдите на вкладку SSO и нажмите Подключить напротив опции SAML . 

1. Откроется экран Настройка SAML в вашем IdP . Здесь вы увидите два значения: ACS/Reply URL и Entity ID, которые нужно будет скопировать и вставить в соответствующие поля в настройках вашего IdP. Для удобства используйте кнопку копирования. После того как вы внесёте и сохраните эти значения в IdP, нажмите Далее. Откроется экран Выбор источника SAML-метаданных .  

2. Укажите, откуда брать SAML-метаданные. Можно выбрать либо XML-файл метаданных или URL-адрес документа метаданных. 

   1. Если вы выбрали XML-файл метаданных:

      • Вам будет предложено вставить XML-данные от вашего IdP. Просто скопируйте их и вставьте в открывшееся окно.

        • Примечание: Убедитесь, что в вашем XML есть следующие строки:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Если вы не можете редактировать XML напрямую, убедитесь, что в IdP включена опция Требовать URL перенаправления IdP.

      • Введите атрибут электронной почты SAML когда появится соответствующее поле, и нажмите Подключить. 

   2. Если вы выбрали URL-адрес документа метаданных:

      • Укажите ссылку, по которой размещён ваш файл метаданных, в поле Endpoint URL .

      • Введите атрибут электронной почты SAML в соответствующее поле.

3. Нажмите Подключить после завершения.

OpenID Connect

Чтобы начать настройку SSO, войдите в OBT, выберите Компания в меню Программа , затем откройте Конфигурация в левом меню и выберите Интеграция. Далее перейдите на вкладку SSO и нажмите Подключить напротив опции OpenID Connect . 

1. Заполните следующие поля:

   • Метод запроса атрибутов (GET или POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • Атрибут электронной почты OpenID Connect 

2. Нажмите Подключить после завершения.

Стандарт Google

Чтобы начать настройку SSO, войдите в OBT, выберите Компания в меню Программа , затем откройте Конфигурация в левом меню и выберите Интеграция. Далее перейдите на вкладку SSO и нажмите Подключить напротив опции Google Standard .

Тестирование 

После подключения Spotnana к вашему IdP, вам и вашим пользователям стоит проверить, что SSO работает корректно. Вам будет предложено сделать следующее: 

1. Выйдите из Spotnana.

2. Откройте страницу входа.

3. Выберите вход через SSO — вас перенаправит на страницу входа вашего IdP.

4. Введите логин и пароль от вашего IdP — после этого вы автоматически вернётесь в Spotnana и войдёте в систему.

Примечание: Если у кого-то из пользователей SSO-переход не сработает, они всё равно смогут войти с помощью своих логина и пароля Spotnana.

Если вы измените какие-либо настройки SSO в Spotnana, этот тестовый сценарий потребуется пройти заново. 

Устранение неполадок

Если у всех сотрудников вашей компании возникают проблемы на этапе тестирования, попробуйте следующее:

• Проверьте, что все параметры подключения указаны верно и корректно внесены в Spotnana.

• Убедитесь, что система вашего провайдера идентификации (IdP) настроена правильно и доступна.

Если проблемы есть только у отдельных пользователей, скорее всего, этих пользователей ещё нет ни в Spotana, ни в вашем IdP, либо в обеих системах.

Особенности

SAML

• Идентификаторы: Мы не поддерживаем идентификаторы, которые используются для перенаправления пользователей в IdP в мультиарендных приложениях.

• Автоматический выход: Если пользователь вышел из IdP, мы автоматически выходим его и из Spotnana.

• SAML-вход, инициируемый IdP: Мы поддерживаем только SAML-утверждения, инициируемые со стороны сервиса (это считается лучшей практикой в отрасли).

• Подпись и шифрование SAML: Мы не поддерживаем подпись SAML-запросов и не требуем шифрования SAML-утверждений.

OpenID Connect

• Идентификаторы: Мы не поддерживаем идентификаторы, которые используются для перенаправления пользователей в IdP в мультиарендных приложениях.

• Получение конечных точек OpenID Connect: Мы поддерживаем только автоматическое заполнение через issuer URL и не допускаем ручной ввод конечных точек. Мы автоматически подставляем следующие данные: authorization endpoint, token endpoint, userinfo endpoint и jwks_uri.