如何在您的身分驗證系統中設定 Spotnana 單一登入(SSO)

建立者 Ashish Chaudhary, 修改時間 星期六, 4 十月 於 10:02 PM 由 Ashish Chaudhary

為您的身分識別提供者設定 Spotnana 單一登入(SSO)

目錄

簡介

這份說明會帶您一步步設定 Spotnana 與您的身分識別提供者(IdP)串接,讓您的使用者可以用單一登入(SSO)方式登入 Spotnana。設定完成後,使用者就不用再輸入 Spotnana 的帳號密碼,只要透過 SSO 就能直接進入。要讓 Spotnana 支援 SSO,您只需要依照下列三個區塊的步驟操作一次即可:

  • 事前準備事項 - 依不同身分識別提供者(IdP),事先準備需要的資訊。SAML、OpenID Connect 及 Google 標準(僅限 Google)有各自的說明區塊。

  • 在 Spotnana 線上訂票系統(OBT)內的設定步驟 - 依據您的 IdP,設定 Spotnana 與 IdP 的連線。SAML、OpenID Connect 及 Google 標準(僅限 Google)各有專屬說明。

  • 測試 - 如何測試 Spotnana 與 IdP 的連線是否正常,並確認設定無誤。

事前準備

SAML

您的 metadata 可能會以 XML 文件內容或是 metadata 檔案網址的形式提供。 請在開始設定前,先把這些資訊準備好。 

  • 如果您是用 metadata XML,在設定流程中,您需要提供 SAML XML metadata 以及 SAML email attribute ,這兩項資訊會在 OBT 的「 輸入公司資訊 」畫面中填寫 email attribute 必須對應到使用者的電子郵件地址。

  • 如果您是用 metadata document URL,則需要提供 Endpoint URL (也就是您的 metadata 檔案存放網址)以及 SAML email attribute ,這兩項資訊同樣會在 OBT 的「 輸入公司資訊 」畫面中填寫。這個 email attribute 也必須對應到使用者的電子郵件地址。

OpenID Connect

您需要提供 Spotnana 下列資訊:

  • Client ID-這是您的身分識別提供者分配給您帳戶的公開識別碼。

  • Client Secret-這是只有您的身分識別提供者知道的私密金鑰,專屬於您的帳戶,用來驗證使用者身分。

  • Attribute request method(GET 或 POST)-用來取得使用者資訊的 HTTP 方法。

  • Issuer URL-這是用來接收驗證請求的網址。

  • OpenID connect email attribute-用來辨識個別使用者的屬性,這個屬性必須對應到使用者的電子郵件地址。

Google 標準

這個設定選項無需事前準備。

在 Spotnana 線上訂票系統內的設定步驟

SAML

要開始設定 SSO 連線,請先登入 OBT,點選 公司 ,從 方案 選單中,展開左側的 設定 選單,然後選擇 整合。接著,切換到 SSO 分頁,點選 連線 ,在 SAML 選項旁。 


  1. 此時會出現 在您的 IdP 設定 SAML 畫面。這個畫面會提供兩個值: ACS/Reply URLEntity ID 這兩個值就是您在 IdP 端設定允許 Spotnana 發送請求和接收回應時需要用到的。您可以點選複製按鈕,把這些值貼到 IdP 對應欄位。設定好並儲存後,請點選 下一步。接下來會出現 選擇 SAML 來源 畫面。  

  2. 請選擇您的 SAML metadata 文件來源,可以選擇 Metadata XML 或 Metadata document endpoint URL。 

    1. 如果您選擇 Metadata XML

      • 系統會請您提供來自 IdP 的 XML 資料,請將 XML 內容複製貼上到對話框中。

        • 提醒: 請確認您的 XML 包含下列內容:
          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>
          如果您無法直接編輯 XML,請記得在 IdP 端設定 Require IDP Redirect URL
      • 系統會提示您輸入 SAML email attribute ,填寫後點選 連線。 

    2. 如果您選擇 Metadata document endpoint URL

      • 請在 Endpoint URL 欄位輸入您的 metadata 檔案網址。

      • 接著在相關欄位填寫 SAML email attribute 

  3. 填寫完成後,請點選 連線 。

OpenID Connect

要開始設定 SSO 連線,請先登入 OBT,點選 公司 ,從 方案 選單中,展開左側的 設定 選單,然後選擇 整合。接著,切換到 SSO 分頁,點選 連線 ,在 OpenID Connect 選項旁。 

  1. 請依序填寫下列欄位:

    • Attribute request method (GET 或 POST)。

    • Client ID

    • Client Secret

    • Issuer URL

    • OpenID connect email attribute 

  2. 填寫完成後,請點選 連線 。

Google 標準

要開始設定 SSO 連線,請先登入 OBT,點選 公司 ,從 方案 選單中,展開左側的 設定 選單,然後選擇 整合。接著,切換到 SSO 分頁,點選 連線 ,在 Google 標準 選項旁。

測試 

當您完成 Spotnana 與 IdP 的連線設定後,建議您和您的同仁都測試一下 SSO 功能是否正常。測試流程如下: 

  1. 先登出 Spotnana。

  2. 進入登入頁面。

  3. 選擇 SSO 登入選項,系統會自動導向您的 IdP 登入頁面。

  4. 輸入您在 IdP 的帳號密碼,系統會自動將您導回 Spotnana 並直接登入。

注意: 如果有些使用者 SSO 轉導失敗,他們還是可以用 Spotnana 的帳號密碼直接登入。


只要您在 Spotnana 變更任何 SSO 連線設定,都必須重新跑一次這個測試流程。 

疑難排解

如果公司所有使用者在測試階段都遇到問題,請試試以下方法:

  • 請確認所有連線資訊在 Spotnana 都正確無誤。

  • 請確認您的身分識別提供者(IdP)系統設定正確,且可以正常連線。

如果只有少數幾位同仁遇到問題,很可能是這些使用者尚未在 Spotnana 或 IdP(或兩者)建立帳號。

注意事項

SAML

  • 識別碼: 我們不支援在多租戶應用程式中,用於將使用者導向 IdP 的識別碼。

  • 自動登出: 當使用者從 IdP 登出時,Spotnana 也會自動將其登出。

  • IdP 發起的 SAML 登入: 我們僅支援 SP 發起的 SAML 驗證(這也是業界最佳做法)。

  • SAML 簽章與加密: 我們不支援 SAML 請求簽章,也不強制要求 SAML 驗證資訊加密。

OpenID Connect

  • 識別碼: 我們不支援在多租戶應用程式中,用於將使用者導向 IdP 的識別碼。

  • 取得 OpenID Connect 端點: 我們僅支援 透過 issuer URL 自動帶入 ,不支援 手動輸入 端點資訊。系統會自動帶入:authorization endpoint、token endpoint、userinfo endpoint 及 jwks_uri。

這篇文章是否有幫助?

太棒了!

感謝您提供意見回饋

抱歉,沒能幫到您

感謝您提供意見回饋

請讓我們知道如何改善這篇文章!

請選擇至少一個原因
必須進行 CAPTCHA 驗證。

意見已發送

感謝您的寶貴意見,我們將嘗試修改這篇文章