ตั้งค่าการใช้งาน Single Sign-on (SSO) ของ Spotnana กับผู้ให้บริการยืนยันตัวตนขององค์กรท่าน

สารบัญ

• ตั้งค่าการใช้งาน Single Sign-on (SSO) ของ Spotnana กับผู้ให้บริการยืนยันตัวตนขององค์กรท่าน
  • บทนำ
  • ข้อกำหนดเบื้องต้น
    • SAML
    • OpenID Connect
    • Google Standard
  • ขั้นตอนการตั้งค่าในระบบจองออนไลน์ Spotnana
    • SAML
    • OpenID Connect
    • มาตรฐานของ Google
  • การทดสอบ 
    • การแก้ไขปัญหา
  • ข้อควรทราบ
    • SAML
    • OpenID Connect

บทนำ

คู่มือนี้จะอธิบายวิธีตั้งค่า Spotnana ให้เชื่อมต่อกับผู้ให้บริการยืนยันตัวตน (IdP) ขององค์กร เพื่อรองรับการเข้าสู่ระบบแบบ Single Sign-on (SSO) เมื่อดำเนินการตั้งค่าเสร็จเรียบร้อยแล้ว ผู้ใช้งานจะไม่ต้องกรอกชื่อผู้ใช้และรหัสผ่านสำหรับ Spotnana อีกต่อไป แต่จะสามารถเข้าสู่ระบบผ่าน SSO ได้ทันที การตั้งค่า SSO นี้จะต้องทำเพียงครั้งเดียวเท่านั้น โดยแบ่งขั้นตอนการดำเนินงานออกเป็น 3 ส่วนหลักดังนี้:

• ขั้นตอนเตรียมความพร้อม - อธิบายรายละเอียดข้อมูลที่ต้องเตรียมจาก IdP ของท่านล่วงหน้า โดยมีแยกแต่ละส่วนสำหรับ SAML, OpenID Connect และ Standard (สำหรับ Google เท่านั้น)

• ขั้นตอนการตั้งค่าในระบบจองออนไลน์ Spotnana (OBT) - อธิบายวิธีตั้งค่าการเชื่อมต่อ Spotnana กับ IdP ของท่าน โดยมีรายละเอียดแยกสำหรับ SAML, OpenID Connect และ Standard (สำหรับ Google เท่านั้น)

• การทดสอบ - อธิบายวิธีทดสอบการเชื่อมต่อระหว่าง Spotnana กับ IdP ของท่าน เพื่อให้มั่นใจว่าการตั้งค่าทำงานถูกต้อง

ข้อกำหนดเบื้องต้น

SAML

ข้อมูล Metadata ของท่านอาจอยู่ในรูปแบบข้อความจากเอกสาร XML หรือเป็น URL ที่ระบุที่อยู่ไฟล์ Metadata ของท่าน โปรดเตรียมข้อมูลเหล่านี้ให้พร้อมก่อนเริ่มต้นการตั้งค่า 

• หากท่านใช้ metadata XMLท่านจะต้องส่ง SAML XML metadata และ SAML email attribute ระหว่างขั้นตอนการตั้งค่าใน OBT (ที่หน้าจอ กรอกข้อมูลบริษัทของท่าน ). email attribute นี้ควรตรงกับอีเมลของผู้ใช้งาน

• หากท่านใช้ metadata document URLท่านจะต้องส่ง Endpoint URL ที่เก็บไฟล์ metadata ของท่าน พร้อมกับ SAML email attribute ระหว่างขั้นตอนการตั้งค่าใน OBT (ที่หน้าจอ กรอกข้อมูลบริษัทของท่าน ). โดย email attribute นี้ควรตรงกับอีเมลของผู้ใช้งาน

OpenID Connect

ท่านจำเป็นต้องแจ้งข้อมูลต่อไปนี้ให้ Spotnana

• Client ID - รหัสประจำตัวสาธารณะของบัญชีท่านจากผู้ให้บริการยืนยันตัวตน

• Client Secret - รหัสลับเฉพาะที่รู้เฉพาะผู้ให้บริการยืนยันตัวตนของท่าน ใช้ยืนยันตัวตนผู้ใช้งาน

• Attribute request method (GET หรือ POST) - วิธีการร้องขอข้อมูลผู้ใช้งานผ่าน HTTP

• Issuer URL - URL สำหรับรับคำขอยืนยันตัวตน

• OpenID connect email attribute - ชื่อ attribute ที่ใช้ระบุผู้ใช้งานแต่ละราย โดยควรตรงกับอีเมลของผู้ใช้งาน

Google Standard

สำหรับตัวเลือกนี้ ไม่จำเป็นต้องเตรียมข้อมูลล่วงหน้า

ขั้นตอนการตั้งค่าในระบบจองออนไลน์ Spotnana

SAML

เริ่มต้นตั้งค่าการเชื่อมต่อ SSO โดยเข้าสู่ระบบ OBT เลือก บริษัท (Company) ในเมนู โปรแกรม (Program) จากนั้นขยายเมนู การตั้งค่า (Configuration) ทางซ้ายมือ แล้วเลือก การเชื่อมต่อ (Integration). จากนั้นเลือกแท็บ SSO แล้วคลิก เชื่อมต่อ (Connect) ข้างตัวเลือก SAML . 

1. หน้าจอ ตั้งค่า SAML ใน IdP ของท่าน จะปรากฏขึ้น โดยจะแสดงค่า ACS/Reply URL และ Entity IDซึ่งท่านสามารถนำไปใช้ตั้งค่าใน IdP เพื่อให้รับคำขอและส่งข้อมูลกลับมายัง Spotnana ได้ ใช้ปุ่มคัดลอกเพื่อคัดลอกแต่ละค่าลงคลิปบอร์ด แล้วนำไปวางในช่องที่เกี่ยวข้องใน IdP ของท่าน เมื่อบันทึกค่าใน IdP เรียบร้อยแล้ว ให้คลิก ถัดไป (Next) .หน้าจอ เลือกแหล่งข้อมูล SAML จะปรากฏขึ้น  

2. กรุณาระบุแหล่งที่มาของเอกสาร SAML metadata ของท่าน โดยเลือก Metadata XML หรือ Metadata document endpoint URL. 

   1. หากท่านเลือก Metadata XML:]></i> <i idx='96'><![CDATA[ระบบจะขอให้ท่านกรอกข้อมูล XML ที่ได้จาก IdP ให้นำข้อมูล XML นั้นมาวางลงในกล่องข้อความที่ปรากฏ

      • You will be prompted to provide the XML data from your IdP. Copy and paste the XML data into the dialog box.

        • หมายเหตุ: โปรดตรวจสอบให้แน่ใจว่า XML ของท่านมีข้อมูลดังนี้

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          หากท่านไม่สามารถแก้ไข XML ได้โดยตรง กรุณาตั้งค่า IdP ของท่านให้ Require IDP Redirect URL.

      • กรอก SAML email attribute เมื่อระบบร้องขอ แล้วคลิก เชื่อมต่อ (Connect). 

   2. หากท่านเลือก Metadata document endpoint URL:]></i> <i idx='111'><![CDATA[กรอก URL ที่เก็บไฟล์ metadata ของท่านในช่อง

      • Enter the URL where your metadata document is hosted in the Endpoint URL .

      • กรอก SAML email attribute ในช่องที่เกี่ยวข้อง

3. คลิก เชื่อมต่อ (Connect) เมื่อเสร็จสิ้น

OpenID Connect

เริ่มต้นตั้งค่าการเชื่อมต่อ SSO โดยเข้าสู่ระบบ OBT เลือก บริษัท (Company) ในเมนู โปรแกรม (Program) จากนั้นขยายเมนู การตั้งค่า (Configuration) ทางซ้ายมือ แล้วเลือก การเชื่อมต่อ (Integration). จากนั้นเลือกแท็บ SSO แล้วคลิก เชื่อมต่อ (Connect) ข้างตัวเลือก OpenID Connect . 

1. กรอกข้อมูลในช่องต่อไปนี้ให้ครบถ้วน

   • Attribute request method (GET หรือ POST)

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID connect email attribute 

2. คลิก เชื่อมต่อ (Connect) เมื่อเสร็จสิ้น

มาตรฐานของ Google

เริ่มต้นตั้งค่าการเชื่อมต่อ SSO โดยเข้าสู่ระบบ OBT เลือก บริษัท (Company) ในเมนู โปรแกรม (Program) จากนั้นขยายเมนู การตั้งค่า (Configuration) ทางซ้ายมือ แล้วเลือก การเชื่อมต่อ (Integration). จากนั้นเลือกแท็บ SSO แล้วคลิก เชื่อมต่อ (Connect) ข้างตัวเลือก Google Standard .

การทดสอบ 

หลังจากตั้งค่า Spotnana ให้เชื่อมต่อกับ IdP ของท่านแล้ว กรุณาทดสอบการใช้งาน SSO โดยท่านและผู้ใช้งานทุกคนจะต้องดำเนินการดังนี้: 

1. ออกจากระบบ Spotnana

2. เข้าสู่หน้าล็อกอิน

3. เลือกตัวเลือกเข้าสู่ระบบด้วย SSO ระบบจะนำท่านไปยังหน้าล็อกอินของ IdP

4. กรอกชื่อผู้ใช้และรหัสผ่านของท่านใน IdP แล้วระบบจะนำกลับเข้าสู่ Spotnana และล็อกอินให้อัตโนมัติ

หมายเหตุ: หากการเปลี่ยนเส้นทาง SSO ไม่สำเร็จสำหรับผู้ใช้งานบางราย ยังสามารถเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านของ Spotnana ได้ตามปกติ

หากท่านเปลี่ยนแปลงการตั้งค่าการเชื่อมต่อ SSO ใน Spotnana ระบบจะเริ่มกระบวนการทดสอบนี้ใหม่อีกครั้ง 

การแก้ไขปัญหา

หากผู้ใช้งานทุกคนในองค์กรพบปัญหาระหว่างการทดสอบ กรุณาตรวจสอบดังนี้:

• ตรวจสอบว่าข้อมูลการเชื่อมต่อทั้งหมดถูกต้องและกรอกครบถ้วนใน Spotnana

• ตรวจสอบว่าระบบ IdP ของท่านตั้งค่าและเปิดใช้งานถูกต้อง

หากมีเพียงผู้ใช้งานบางรายพบปัญหา อาจเป็นเพราะผู้ใช้งานเหล่านั้นยังไม่มีบัญชีใน Spotnana หรือใน IdP หรือทั้งสองระบบ

ข้อควรทราบ

SAML

• รหัสประจำตัว (Identifiers): ขณะนี้ยังไม่รองรับรหัสประจำตัวที่ใช้เปลี่ยนเส้นทางผู้ใช้งานไปยัง IdP ในแอปพลิเคชันแบบหลายองค์กร (multi-tenant)

• การออกจากระบบอัตโนมัติ: ผู้ใช้งานจะถูกออกจากระบบ Spotnana อัตโนมัติเมื่อออกจากระบบ IdP

• การเข้าสู่ระบบ SAML ที่เริ่มต้นจาก IdP: Spotnana รองรับเฉพาะ SAML แบบเริ่มต้นจากฝั่ง SP เท่านั้น (เป็นแนวทางปฏิบัติที่แนะนำในอุตสาหกรรม)

• การลงนามและเข้ารหัส SAML: Spotnana ไม่รองรับการลงนาม SAML request หรือการบังคับใช้ SAML assertion แบบเข้ารหัส

OpenID Connect

• รหัสประจำตัว (Identifiers): ขณะนี้ยังไม่รองรับรหัสประจำตัวที่ใช้เปลี่ยนเส้นทางผู้ใช้งานไปยัง IdP ในแอปพลิเคชันแบบหลายองค์กร (multi-tenant)

• การดึงข้อมูล endpoint ของ OpenID Connect: Spotnana รองรับเฉพาะ การกรอกข้อมูลอัตโนมัติผ่าน Issuer URL และไม่รองรับ การกรอกข้อมูลด้วยตนเอง (Manual Input) สำหรับ endpoint. โดย Spotnana จะกรอกข้อมูล endpoint ต่าง ๆ เช่น authorization endpoint, token endpoint, userinfo endpoint และ jwks_uri ให้อัตโนมัติ