為您的身分識別提供者設定 Spotnana 單一登入（SSO）

目錄

• 為您的身分識別提供者設定 Spotnana 單一登入（SSO）
  • 簡介
  • 事前準備
    • SAML
    • OpenID Connect
    • Google 標準
  • 在 Spotnana 線上訂票系統內的設定步驟
    • SAML
    • OpenID Connect
    • Google 標準
  • 測試 
    • 疑難排解
  • 注意事項
    • SAML
    • OpenID Connect

簡介

這份說明會帶您一步步設定 Spotnana 與您的身分識別提供者（IdP）串接，讓您的使用者可以用單一登入（SSO）方式登入 Spotnana。設定完成後，使用者就不用再輸入 Spotnana 的帳號密碼，只要透過 SSO 就能直接進入。要讓 Spotnana 支援 SSO，您只需要依照下列三個區塊的步驟操作一次即可：

• 事前準備事項 - 依不同身分識別提供者（IdP），事先準備需要的資訊。SAML、OpenID Connect 及 Google 標準（僅限 Google）有各自的說明區塊。

• 在 Spotnana 線上訂票系統（OBT）內的設定步驟 - 依據您的 IdP，設定 Spotnana 與 IdP 的連線。SAML、OpenID Connect 及 Google 標準（僅限 Google）各有專屬說明。

• 測試 - 如何測試 Spotnana 與 IdP 的連線是否正常，並確認設定無誤。

事前準備

SAML

您的 metadata 可能會以 XML 文件內容或是 metadata 檔案網址的形式提供。 請在開始設定前，先把這些資訊準備好。 

• 如果您是用 metadata XML，在設定流程中，您需要提供 SAML XML metadata 以及 SAML email attribute ，這兩項資訊會在 OBT 的「 輸入公司資訊 」畫面中填寫。 email attribute 必須對應到使用者的電子郵件地址。

• 如果您是用 metadata document URL，則需要提供 Endpoint URL （也就是您的 metadata 檔案存放網址）以及 SAML email attribute ，這兩項資訊同樣會在 OBT 的「 輸入公司資訊 」畫面中填寫。這個 email attribute 也必須對應到使用者的電子郵件地址。

OpenID Connect

您需要提供 Spotnana 下列資訊：

• Client ID－這是您的身分識別提供者分配給您帳戶的公開識別碼。

• Client Secret－這是只有您的身分識別提供者知道的私密金鑰，專屬於您的帳戶，用來驗證使用者身分。

• Attribute request method（GET 或 POST）－用來取得使用者資訊的 HTTP 方法。

• Issuer URL－這是用來接收驗證請求的網址。

• OpenID connect email attribute－用來辨識個別使用者的屬性，這個屬性必須對應到使用者的電子郵件地址。

Google 標準

這個設定選項無需事前準備。

在 Spotnana 線上訂票系統內的設定步驟

SAML

要開始設定 SSO 連線，請先登入 OBT，點選 公司 ，從 方案 選單中，展開左側的 設定 選單，然後選擇 整合。接著，切換到 SSO 分頁，點選 連線 ，在 SAML 選項旁。 

1. 此時會出現 在您的 IdP 設定 SAML 畫面。這個畫面會提供兩個值： ACS/Reply URL 和 Entity ID， 這兩個值就是您在 IdP 端設定允許 Spotnana 發送請求和接收回應時需要用到的。您可以點選複製按鈕，把這些值貼到 IdP 對應欄位。設定好並儲存後，請點選 下一步。接下來會出現 選擇 SAML 來源 畫面。  

2. 請選擇您的 SAML metadata 文件來源，可以選擇 Metadata XML 或 Metadata document endpoint URL。 

   1. 如果您選擇 Metadata XML：

      • 系統會請您提供來自 IdP 的 XML 資料，請將 XML 內容複製貼上到對話框中。

        • 提醒： 請確認您的 XML 包含下列內容：

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          如果您無法直接編輯 XML，請記得在 IdP 端設定 Require IDP Redirect URL。

      • 系統會提示您輸入 SAML email attribute ，填寫後點選 連線。 

   2. 如果您選擇 Metadata document endpoint URL：

      • 請在 Endpoint URL 欄位輸入您的 metadata 檔案網址。

      • 接著在相關欄位填寫 SAML email attribute 。

3. 填寫完成後，請點選 連線 。

OpenID Connect

要開始設定 SSO 連線，請先登入 OBT，點選 公司 ，從 方案 選單中，展開左側的 設定 選單，然後選擇 整合。接著，切換到 SSO 分頁，點選 連線 ，在 OpenID Connect 選項旁。 

1. 請依序填寫下列欄位：

   • Attribute request method （GET 或 POST）。

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID connect email attribute 

2. 填寫完成後，請點選 連線 。

Google 標準

要開始設定 SSO 連線，請先登入 OBT，點選 公司 ，從 方案 選單中，展開左側的 設定 選單，然後選擇 整合。接著，切換到 SSO 分頁，點選 連線 ，在 Google 標準 選項旁。

測試 

當您完成 Spotnana 與 IdP 的連線設定後，建議您和您的同仁都測試一下 SSO 功能是否正常。測試流程如下： 

1. 先登出 Spotnana。

2. 進入登入頁面。

3. 選擇 SSO 登入選項，系統會自動導向您的 IdP 登入頁面。

4. 輸入您在 IdP 的帳號密碼，系統會自動將您導回 Spotnana 並直接登入。

注意： 如果有些使用者 SSO 轉導失敗，他們還是可以用 Spotnana 的帳號密碼直接登入。

只要您在 Spotnana 變更任何 SSO 連線設定，都必須重新跑一次這個測試流程。 

疑難排解

如果公司所有使用者在測試階段都遇到問題，請試試以下方法：

• 請確認所有連線資訊在 Spotnana 都正確無誤。

• 請確認您的身分識別提供者（IdP）系統設定正確，且可以正常連線。

如果只有少數幾位同仁遇到問題，很可能是這些使用者尚未在 Spotnana 或 IdP（或兩者）建立帳號。

注意事項

SAML

• 識別碼： 我們不支援在多租戶應用程式中，用於將使用者導向 IdP 的識別碼。

• 自動登出： 當使用者從 IdP 登出時，Spotnana 也會自動將其登出。

• IdP 發起的 SAML 登入： 我們僅支援 SP 發起的 SAML 驗證（這也是業界最佳做法）。

• SAML 簽章與加密： 我們不支援 SAML 請求簽章，也不強制要求 SAML 驗證資訊加密。

OpenID Connect

• 識別碼： 我們不支援在多租戶應用程式中，用於將使用者導向 IdP 的識別碼。

• 取得 OpenID Connect 端點： 我們僅支援 透過 issuer URL 自動帶入 ，不支援 手動輸入 端點資訊。系統會自動帶入：authorization endpoint、token endpoint、userinfo endpoint 及 jwks_uri。