|
Klassiske filtyper er ikke lenger tilgjengelige for bruk fra og med januar 2021. Du kan overføre klassiske filer eller laste ned en PDF-fil. Finn ut mer

Workiva kundestøttesenter

Konfigurer SAML-enkeltpålogging

Konfigurer SAML-enkeltpålogging

  • Sist oppdatert
Forbundet med sso

Organisasjonssikkerhetsadministratorer kan følge trinnene nedenfor for å konfigurere SAML-enkeltpålogging -innstillinger for organisasjonen. SAML-basert enkel pålogging (SSO) gir medlemmer tilgang til Workiva gjennom en identitetsleverandør (IdP). Før du konfigurerer innstillinger, sørg for at du har lest Hva er SAML-enkeltpålogging?.

Merk: Sikkerhetsadministratorer for organisasjonen må legges til i et arbeidsområde for å få tilgang til organisasjonsadministrasjon.

 

Trinn 1: Gå til SAML SSO-innstillinger

  1. Gå til Organisasjonsadministrator.
  2. Klikk på Sikkerhet i menyen til venstre.
  3. Klikk på fanen Enkeltpålogging.

Hvis du har en eksisterende SSO-konfigurasjon, vil siden se slik ut:

 

 

Trinn 2: Opprett SAML SSO-konfigurasjonen din og velg identitetsleverandøren din

  1. Klikk på Opprett SSO-konfigurasjon.
  2. Skriv inn et konfigurasjonsnavn og velg identitetsleverandør (IdP) fra rullegardinmenyen.
  3. Klikk på Opprett konfigurasjon for å fortsette.

Create SAML SSO configuration.png

 

Trinn 3: Send Workiva-metadataene til identitetsleverandøradministratoren din

  1. Under seksjonen Workiva-metadata ser du Identifikatoren (Enhets-ID) og Svar-URL.
  2. Klikk på Avanserte alternativer for å se Påloggings-URL og Utloggings-URL.
    Disse URL-ene er unike for hver organisasjon og kan ikke endres, og vil inneholde app.wdesk.com, eu.wdesk.comeller apac.wdesk.com.
    Workiva metadata.jpg
  3. Send disse Workiva-metadata-URL-ene til identitetsleverandøradministratoren din.
    Du kan også klikke på Last ned Workiva-metadata XML for å laste ned og sende Workiva-metadata XML-filen til identitetsleverandøradministratoren din i stedet.

  4. Du kan justere Klokkeskjevhetstillatelsen. Klokkeskjevhetstillatelse er den maksimalt tillatte tidsforskjellen mellom SAML-identitetsleverandøren din og Workiva. Standardinnstillingen er 300 sekunder (5 minutter).

    Tips: En større verdi utvider «akseptvinduet» for tidsforskjeller. Selv om dette forbedrer påliteligheten ved å redusere antall avviste forespørsler, introduserer det også sikkerhets- og ytelsesrisikoer. Alternativt øker en mindre verdi sannsynligheten for autentiseringsfeil på grunn av tidsavbrudd.
  5. Hvis du bruker Microsoft Azure som identitetsleverandør, kan identitetsleverandøradministratoren din se trinn 2 under Azure-fanen i Konfigurer SAML SSO med identitetsleverandøren din.
  6. Hvis du bruker Okta som identitetsleverandør, kan identitetsleverandøradministratoren din se trinn 3 under Okta-fanen i Konfigurer SAML SSO med identitetsleverandøren din.
  7. Hvis du bruker en annen identitetsleverandør enn Microsoft Azure eller Okta, kan du kontakte identitetsleverandørens kundestøtte hvis du trenger hjelp.

 

Trinn 4: Skriv inn metadataene for identitetsleverandøren din i Workiva

Forutsetning: Du må innhente den nødvendige metadatainformasjonen for identitetsleverandøren fra identitetsleverandøradministratoren din før du fortsetter.

  • Hvis du bruker Microsoft Azure som identitetsleverandør, kan identitetsleverandøradministratoren din se trinn 4 under Azure-fanen i Konfigurer SAML SSO med identitetsleverandøren din.
  • Hvis du bruker Okta som identitetsleverandør, kan identitetsleverandøradministratoren din se Trinn 2 under Okta-fanen i Konfigurer SAML SSO med identitetsleverandøren din.
  • Hvis du bruker en annen identitetsleverandør enn Microsoft Azure eller Okta, må du kontakte identitetsleverandørens kundestøtte for å få informasjonen.

Under delen for metadata for identitetsleverandøren (for eksempel Microsoft Azure-metadata) skriver du inn metadataene for identitetsleverandøren.

  1. Først velger du hvordan du vil legge inn metadataene for identitetsleverandøren i rullegardinmenyen Foretrukket inntastingsmetode . Du kan skrive inn en URL for føderasjonsmetadata, laste opp en XML-fil for metadataeller skrive inn metadataene via Manuell inntasting.

  2. I dialogboksen for filvalg velger du filen som inneholder metadatainformasjonen for identitetsleverandøren, og klikker deretter på Importer.

    Alternativt kan du legge inn verdiene manuelt:

 

Trinn 5: Angi brukertilordning

I delen Brukertilordning klikker du på rullegardinmenyen og velger enten:

  • Tilordne brukere til Workiva-brukernavnet sitt (anbefales)
  • Tilordne brukere manuelt

Merk: Hvis du har angitt metadatainformasjonen for identitetsleverandøren manuelt, må du aktivere Avanserte alternativer for denne delen.

Tilordne brukere til Workiva-brukernavnet deres

Hvis du valgte Tilordne brukere til Workiva-brukernavnet sitt i rullegardinmenyen, vil Workiva forvente at det innkommende Primær NavnID-attributtet samsvarer med Workiva-brukernavnet, uten hensyn til eventuell skille mellom store og små bokstaver, når brukeren logger seg inn. For eksempel tillater dette at User.Name.Example samsvarer med user.name.example.

Du kan deretter klikke på rullegardinmenyen Angi tilordning og velge Angi alle SSO-ID-er til Workiva-brukernavn for å fylle ut tabellen.

Klikk på Opprett konfigurasjon for å fortsette.

 

Tilordne brukere manuelt

Hvis du valgte Tilordne brukere manuelt i rullegardinmenyen, må du først sjekke de avanserte alternativene. Under NameIdentifier-plasseringvil de fleste konfigurasjoner ha alternativet NameIdentifier er i emnesetning valgt. Dette betyr at Workiva vil sjekke etter NameIdentifier-elementet i Subject-setningen.

Du kan imidlertid velge alternativet NameIdentifier er i et annet elementattributt og angi NameIdentifier-elementattributtet, slik at applikasjonen ser etter attributtet i SAML-svaret.

Merk: De fleste sikkerhetsadministratorer for organisasjoner vil ikke endre NameIdentifier-plasseringen fra standardinnstillingen. Kontakt Workiva Support for å få hjelp før du foretar endringer.

Kartlegg brukere via filimport

Klikk på Angi tilordningog velg Importer SSO-ID-er via fil for å tilordne brukere til SSO-ID-ene i en .csv-tilordningsfil (se Krav til SAML ID .csv-tilordningsfil).

  • Ingen overskrifter er nødvendige i tilordningsfilen.
  • Alle rader vil bli behandlet, og eventuelle ugyldige rader vil bli hoppet over.
  • Hvis det finnes dupliserte brukernavn, vil bare den første raden med det brukernavnet bli brukt.
  • Hvis et oppgitt brukernavn allerede har en eksisterende tilordning, vil tilordningen bli oppdatert til det som er oppgitt i tilordningsfilen.
  • Hvis rader hoppes over, logges feilene i SAML-aktivitetsloggen for enkel pålogging.

Kartlegg brukere individuelt

Hvis du trenger å angi eller redigere SSO-ID-er for brukere individuelt, kan du søke etter brukeren og/eller bruke filteret SSO ID-status for å finne brukeren enklere. Dobbeltklikk deretter på feltet SSO-ID ved siden av brukeren i tabellen, og skriv inn riktig SSO-ID.

manual sso id.png

 

Etter at du har angitt brukertilordningen, klikker du på Opprett konfigurasjon for å fortsette.

 

Krav til SAML ID .csv-tilordningsfil

En gyldig rad i SAML ID .csv-tilordningsfilen følger følgende format:

samlId, brukernavn

En rad kan være ugyldig hvis:

  • Det er færre enn to elementer på raden
  • SAML-ID-en og/eller brukernavnet er ikke oppgitt
  • Det oppgitte brukernavnet finnes ikke
  • Brukeren med det oppgitte brukernavnet er ikke medlem av organisasjonen
  • Brukeren med det oppgitte brukernavnets primære organisasjon er ikke den samme som organisasjonen som endres for øyeblikket.
  • Den oppgitte SAML-ID-en er allerede tatt av en annen bruker

Et eksempel på en gyldig kartleggingsfil ser slik ut:

eksempelSamlId, eksempelbrukernavn eksempelSamlId2, eksempelbrukernavn2 eksempelSamlId3, eksempelbrukernavn3

 

Trinn 6: Aktiver SAML SSO-konfigurasjonen din

Etter at du har opprettet SAML SSO-konfigurasjonen, må du eksplisitt aktivere den for at konfigurasjonen skal tre i kraft.

Klikk på Aktiver i konfigurasjonen. Konfigurasjonen din vil da vises som Aktiv.

AzureID Activation x2 callout.png

 

Trinn 7: Oppdater SAML SSO-autentiseringsalternativer

Workiva anbefaler på det sterkeste å tvinge brukere til å logge på med SSO som en god praksis for å forenkle innloggingsprosessen og gi en bedre helhetsopplevelse. Etter at du har opprettet og aktivert SAML SSO-konfigurasjonen din:

  1. Under fanen Enkel pålogging presenterer seksjonen Tving frem SSO og unntak to autentiseringsalternativer:

    • Tving brukere til å logge på med SSO (Anbefales): Brukere som ikke er administratorer, tvinges til å bruke SSO, mens organisasjonssikkerhetsadministratorer kan fortsette å logge på med brukernavn og passord. Dette alternativet fungerer best hvis bedriften din ønsker å tvinge frem SSO, men fortsatt tillate at organisasjonssikkerhetsadministratorer får tilgang til plattformen hvis SSO opplever problemer.

      Merk: Sørg for at du utfører grundig testing og at du er helt trygg på SAML SSO-oppsettet ditt før du aktiverer dette alternativet.
    • Tving organisasjonssikkerhetsadministratorer til å logge på med SSO: Organisasjonssikkerhetsadministratorer er tvunget til å bruke SSO. Dette alternativet fungerer best hvis selskapets sikkerhetspolicyer ikke ønsker å unnta brukere fra SSO-kravet. For å aktivere dette alternativet må du også merke av for Tving brukere til å logge på med SSO.
  2. Etter at du har valgt alternativene dine, klikker du på Lagre.

Hvis ønskelig, kan du tillate bestemte brukere å logge på uten SAML SSO ved å legge dem til i SSO-unntakslisten.

Merk: Før du tvinger frem SAML SSO, må du legge til de nødvendige brukerne i SSO-unntakslisten for å unngå å låse brukere ute fra kontoene sine.

 

Konfigurer SAML SSO med identitetsleverandøren din

Administratoren for identitetsleverandøren din kan se trinnene nedenfor for hvordan du konfigurerer SAML SSO med vanlige identitetsleverandører.

Støttede funksjoner

  • SP-initiert SSO
  • IdP-initiert SSO
  • IdP-initiert SLO (enkelt utlogging)
  • Liste over SSO-unntak
  • Valgfri påstandskryptering

 

Trinn 1: Legg til integrasjonen

  1. Logg på Okta-administrasjonsportalen, og under Applikasjonervelger du Bla gjennom appkatalogen.
  2. I Appintegrasjonskatalogensøker du etter Workiva og velger det. Klikk deretter på Legg til integrasjon.
  3. Angi de generelle innstillingene i henhold til dine IT-policyer og -prosedyrer. Klikk deretter på Neste.

 

Trinn 2: Skriv inn Okta-metadataene i Workiva

I SAML 2.0-delen lar du Standard reléstatus stå tomt. Last ned XML-filen med metadata for opplasting til Workiva som beskrevet i Trinn 4 i Workiva: Skriv inn metadataene for identitetsleverandøren din i Workiva.
En måte å laste ned XML-filen på er å kopiere metadata-URL-en, lime den inn i en nettleser og deretter lagre siden som en XML-fil.

 

Trinn 3: Skriv inn Workiva-metadataene i Okta

Bruk av Workiva-URL-ene som finnes i Trinn 3 i Workiva: Send Workiva-metadataene til identitetsleverandøradministratoren din:

  • Kopier og lim inn Workiva ACS URL i Okta ACS URL-feltet.
  • Kopier og lim inn Workiva Målgruppe-URL i Okta Målgruppe-URL-feltet.

 

Trinn 4: Rediger attributtene og kravene

I Oktas attributter og krav anbefales det å matche Workiva-brukernavnet (ikke store og små bokstaver) med Primary NameID-attributtet, slik at Workiva automatisk tilordner attributtet til Workiva-brukernavnet når brukeren logger på med SSO for første gang. Denne kartleggingen avhenger imidlertid av dine spesifikke IT-policyer.

Hvis disse attributtene ikke samsvarer, må du manuelt tilordne attributtet til det tilsvarende brukernavnet som beskrevet i Trinn 5 i Workiva: Angi brukertilordning før brukeren kan logge på med SSO.

 

SP-initiert SSO-prosess

Påloggingsprosessen startes fra SP-URL-en app.wdesk.com, eu.wdesk.com eller apac.wdesk.com til din hjemmeorganisasjon.

  1. Gå til Workiva-påloggingssiden fra nettleseren din.
  2. Skriv inn Workiva-brukernavnet ditt.
  3. Klikk på Logg på med enkel pålogging.
  4. Du blir omdirigert til organisasjonens påloggingsside.
  5. Skriv inn legitimasjonen din og bestå eventuelle ekstra utfordringer i henhold til organisasjonens retningslinjer.
  6. Du blir omdirigert til Workiva og logget inn i grensesnittet.

Trinn 1: Opprett applikasjonen

  1. Logg på Azure-administrasjonsportalen, og gå til Microsoft Entra ID > Bedriftsapplikasjoner.
  2. Klikk på Ny applikasjon.
  3. Søk etter Workiva og velg det.
    Vær oppmerksom på at hvis du planlegger å implementere SCIM, må du opprette et tilpasset program.
  4. Navngi applikasjonen, og klikk deretter på Opprett.
  5. Når applikasjonen er opprettet, gå til Enkel pålogging > SAML.

 

Trinn 2: Legg inn Workiva-metadataene i Microsoft Azure

  1. Rediger Grunnleggende SAML-konfigurasjon.
  2. Bruk av Workiva-URL-ene som finnes i Trinn 3 i Workiva: Send Workiva-metadataene til identitetsleverandøradministratoren din:
    1. Kopier og lim inn Workiva Identifier (Entity ID) i Azure Identifier (Entity ID) -feltet.
    2. Kopier og lim inn Workiva Svar-URL i Azure Svar-URL (Assertion Consumer Service URL) -feltet.
    3. (Valgfritt) Kopier og lim inn Workiva Sign-on URL i Azure Sign-on URL -feltet.
    4. La feltet Reléstatus stå tomt.
    5. (Valgfritt) Kopier og lim inn Workiva Logout URL i Azure Logout URL -feltet.

 

Trinn 3: Rediger attributtene og kravene

Når konfigurasjonen er lagret, rediger Attributter og krav. Det anbefales å matche Workiva-brukernavnet (ikke skille mellom store og små bokstaver) med attributtet Primary NameID, slik at Workiva automatisk tilordner attributtet til Workiva-brukernavnet når brukeren logger på med SSO for første gang. Denne kartleggingen avhenger imidlertid av dine spesifikke IT-policyer.

  • Hvis disse attributtene ikke samsvarer, må du manuelt tilordne attributtet til det tilsvarende brukernavnet som beskrevet i Trinn 5 i Workiva: Angi brukertilordning før brukeren kan logge på med SSO.
  • Workiva ser bare på det nødvendige kravet Unik brukeridentifikator (navne-ID) for brukerne, og eventuelle ytterligere krav vil bli ignorert.

 

Trinn 4: Skriv inn Microsoft Azure-metadataene i Workiva

Hvis du skriver inn Microsoft Azure-metadataene i Workiva via URL-adressen for føderasjonsmetadata, finner du URL-adressen for føderasjonsmetadataene i Azure SAML SSO-konfigurasjonen.

Hvis du legger inn Microsoft Azure-metadataene i Workiva via en XML-fil med metadata, klikker du på Last ned ved siden av Federation Metadata XML [ i delen SAML-sertifikater. Last deretter opp XML-filen med metadata til Workiva.

Merk: Hvis du bruker Microsoft Azure som identitetsleverandør, må du sørge for at feltet Workiva Login URL (under Avanserte alternativer) står tomt, ellers vil det oppstå påloggingsfeil.

Hvis du ønsker en Utloggings-URL (under de avanserte alternativene), men den verdien ikke finnes i den opplastede XML-metadatafilen, må du lime inn den verdien manuelt.

 

 

Var denne artikkelen nyttig?
10 av 34 syntes dette var nyttig
Organisasjonssikkerhetsadministratorer kan følge trinnene nedenfor for å konfigurere SAML-enkeltpålogging -innstillin...