Налаштування єдиного входу (SSO) Spotnana для вашого провайдера ідентифікації

ЗМІСТ

• Налаштування єдиного входу (SSO) Spotnana для вашого провайдера ідентифікації
  • Вступ
  • Необхідні умови
    • SAML
    • OpenID Connect
    • Google Standard
  • Кроки налаштування у Spotnana Online Booking Tool
    • SAML
    • OpenID Connect
    • Стандарт Google
  • Тестування 
    • Вирішення проблем
  • Особливості
    • SAML
    • OpenID Connect

Вступ

У цій інструкції описано, як налаштувати Spotnana для підключення до вашого провайдера ідентифікації (IdP) з метою використання єдиного входу (SSO). Після налаштування користувачі зможуть входити до Spotnana через SSO, без потреби вводити окремий логін і пароль Spotnana. Щоб увімкнути SSO у Spotnana, потрібно виконати кілька кроків (тільки один раз). Всі дії поділені на 3 розділи:

• Попередні дії - Яку саме інформацію потрібно заздалегідь отримати від вашого IdP. Окремі підрозділи для SAML, OpenID Connect та стандарту Google.

• Кроки налаштування у Spotnana Online Booking Tool (OBT) - Детальна інструкція, як налаштувати підключення Spotnana до вашого IdP. Окремі розділи для SAML, OpenID Connect та стандарту Google.

• Тестування - Як перевірити роботу підключення між Spotnana та вашим IdP і впевнитися, що все працює коректно.

Необхідні умови

SAML

Ваші метадані можуть бути надані або у вигляді тексту з XML-документу, або як посилання (URL) на розташування файлу з метаданими. Підготуйте ці дані заздалегідь, перш ніж почати налаштування. 

• Якщо ви використовуєте XML з метаданими, під час налаштування ви надаєте SAML XML метадані та SAML email-атрибут у процесі налаштування в OBT (на екрані Введіть інформацію про вашу компанію ). Цей email-атрибут має відповідати електронній адресі користувача.

• Якщо ви використовуєте URL документа з метаданими, під час налаштування ви надаєте Endpoint URL де розміщено ваш файл з метаданими, та SAML email-атрибут у процесі налаштування в OBT (на екрані Введіть інформацію про вашу компанію ). Цей email-атрибут також має відповідати електронній адресі користувача.

OpenID Connect

Вам потрібно надати Spotnana таку інформацію:

• Client ID — публічний ідентифікатор вашого облікового запису у провайдера ідентифікації.

• Client Secret — приватний ключ, відомий лише провайдеру ідентифікації, унікальний для вашого облікового запису, використовується для автентифікації користувачів.

• Метод запиту атрибутів (GET або POST) — HTTP-метод, який використовується для отримання даних користувача.

• Issuer URL — адреса, яка використовується для отримання запитів на автентифікацію.

• OpenID Connect email-атрибут — атрибут, який ідентифікує користувача. Він має відповідати електронній адресі користувача.

Стандарт Google

Для цього способу налаштування попередніх вимог немає.

Кроки налаштування у Spotnana Online Booking Tool

SAML

Щоб розпочати налаштування SSO, увійдіть до OBT, оберіть Компанія у меню Програма , розгорніть меню Налаштування (зліва) і оберіть Інтеграція. Далі перейдіть на вкладку SSO та натисніть Підключити біля опції SAML . 

1. Відкриється екран Налаштування SAML у вашому IdP . Тут ви побачите два значення: ACS/Reply URL та Entity ID, які потрібно скопіювати у відповідні поля у вашому IdP. Скористайтеся кнопкою копіювання, щоб скопіювати значення та вставити їх у налаштування IdP. Після збереження змін у IdP натисніть Далі. З'явиться екран Вибір джерела SAML-метаданих .  

2. Вкажіть, звідки буде братися документ з SAML-метаданими. Оберіть або Metadata XML або Endpoint URL документа з метаданими. 

   1. Якщо ви обрали Metadata XML:

      • Вам потрібно буде вставити XML-дані від вашого IdP. Скопіюйте та вставте XML у відповідне поле.

        • Примітка: Переконайтеся, що у вашому XML міститься наступний рядок:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Якщо ви не можете редагувати XML напряму, переконайтеся, що у вашому IdP встановлено Вимагати IDP Redirect URL.

      • Введіть ваш SAML email-атрибут коли буде запропоновано, і натисніть Підключити. 

   2. Якщо ви обрали Endpoint URL документа з метаданими:

      • Введіть адресу, де розміщено ваш документ з метаданими, у поле Endpoint URL .

      • Вкажіть ваш SAML email-атрибут у відповідному полі.

3. Натисніть Підключити після завершення.

OpenID Connect

Щоб розпочати налаштування SSO, увійдіть до OBT, оберіть Компанія у меню Програма , розгорніть меню Налаштування (зліва) і оберіть Інтеграція. Далі перейдіть на вкладку SSO та натисніть Підключити біля опції OpenID Connect . 

1. Заповніть такі поля:

   • Метод запиту атрибутів (GET або POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID Connect email-атрибут 

2. Натисніть Підключити після завершення.

Стандарт Google

Щоб розпочати налаштування SSO, увійдіть до OBT, оберіть Компанія у меню Програма , розгорніть меню Налаштування (зліва) і оберіть Інтеграція. Далі перейдіть на вкладку SSO та натисніть Підключити біля опції Стандарт Google .

Тестування 

Після налаштування підключення Spotnana до вашого IdP, рекомендуємо вам і вашим користувачам перевірити, чи працює SSO. Для цього потрібно виконати такі дії: 

1. Вийдіть із облікового запису Spotnana.

2. Перейдіть на сторінку входу.

3. Оберіть вхід через SSO. Вас буде перенаправлено на сторінку входу вашого IdP.

4. Введіть свій логін і пароль від IdP. Після цього ви автоматично повернетесь у Spotnana вже авторизованим.

Примітка: Якщо у когось із користувачів SSO-перенаправлення не спрацює, вони все одно зможуть увійти за допомогою логіна та пароля Spotnana.

Якщо ви зміните будь-які налаштування SSO у Spotnana, цей тестовий процес потрібно буде повторити. 

Вирішення проблем

Якщо всі користувачі вашої компанії стикаються з проблемами під час тестування, спробуйте наступне:

• Перевірте, що всі дані підключення вказані правильно та коректно внесені у Spotnana.

• Переконайтеся, що система вашого провайдера ідентифікації (IdP) налаштована правильно і доступна.

Якщо проблеми виникають лише у декількох користувачів, скоріш за все, їхні облікові записи ще не створені у Spotnana, у вашому IdP або в обох системах.

Особливості

SAML

• Ідентифікатори: Ми не підтримуємо ідентифікатори, які використовуються для перенаправлення користувачів до IdP у багатокористувацьких додатках.

• Автоматичний вихід: Коли користувач виходить із IdP, ми автоматично завершуємо його сесію у Spotnana.

• SAML-вхід, ініційований IdP: Ми приймаємо лише SAML-запити, ініційовані зі сторони сервісу (SP), що є галузевою практикою.

• Підпис і шифрування SAML: Ми не підтримуємо підписування SAML-запитів або вимогу шифрування SAML-відповідей.

OpenID Connect

• Ідентифікатори: Ми не підтримуємо ідентифікатори, які використовуються для перенаправлення користувачів до IdP у багатокористувацьких додатках.

• Отримання OpenID Connect endpoint-ів: Ми підтримуємо лише Автозаповнення через issuer URL і не дозволяємо Введення вручну endpoint-ів. Автоматично підтягуються такі дані: authorization endpoint, token endpoint, userinfo endpoint та jwks_uri.