|
Klasyczne typy plików nie są już dostępne od stycznia 2021 r. Możesz przenieść swoje klasyczne pliki lub pobrać plik PDF. Dowiedz się więcej

Centrum wsparcia Workiva

Konfigurowanie jednokrotnego logowania SAML

Konfigurowanie jednokrotnego logowania SAML

  • Ostatnia aktualizacja
Powiązane z sso

Administratorzy zabezpieczeńorganizacji mogą wykonać poniższe kroki, aby skonfigurować ustawienia logowania jednokrotnego SAML dla organizacji . Logowanie jednokrotne (SSO) oparte na protokole SAML umożliwia członkom dostęp do platformy Workiva za pośrednictwem dostawcy tożsamości (IdP). Przed skonfigurowaniem ustawień upewnij się, że zapoznałeś się z tematem Czym jest logowanie jednokrotne SAML?.

Uwaga: Administratorzy zabezpieczeń organizacji muszą zostać dodani do obszaru roboczego, aby uzyskać dostęp do administratora organizacji.

 

Krok 1: Przejdź do ustawień logowania jednokrotnego SAML

  1. Przejdź do Administracji organizacji.
  2. Kliknij Bezpieczeństwo w menu po lewej stronie.
  3. Kliknij kartę Logowanie jednokrotne.

Jeśli masz już konfigurację SSO, strona będzie wyglądać następująco:

 

 

Krok 2: Utwórz konfigurację logowania jednokrotnego SAML i wybierz dostawcę tożsamości

  1. Kliknij Utwórz konfigurację SSO.
  2. Wprowadź nazwę konfiguracji i wybierz dostawcę tożsamości (IdP) z listy rozwijanej.
  3. Kliknij Utwórz konfigurację, aby kontynuować.

Create SAML SSO configuration.png

 

Krok 3: Wyślij metadane Workiva do administratora swojego dostawcy tożsamości

  1. W sekcji Metadane Workiva zobaczysz Identyfikator (ID jednostki) i Adres URL odpowiedzi.
  2. Kliknij Opcje zaawansowane, aby zobaczyć Adres URL logowania i Adres URL wylogowania.Te adresy URL są unikalne dla każdej organizacji i nie można ich modyfikować. Będą zawierać
    app.wdesk.com, eu.wdesk.comlub apac.wdesk.com.
    Workiva metadata.jpg
  3. Wyślij te adresy URL metadanych Workiva do administratora swojego dostawcy tożsamości.
    Możesz również kliknąć Pobierz plik XML metadanych Workiva, aby pobrać plik XML metadanych Workiva i wysłać go do administratora swojego dostawcy tożsamości.

  4. Możesz dostosować Tolerancję przesunięcia zegara. Dopuszczalna różnica czasu to maksymalna dopuszczalna różnica czasu między dostawcą tożsamości SAML a firmą Workiva. Wartość domyślna to 300 sekund (5 minut).

    Wskazówka: Większa wartość rozszerza „okno akceptacji” różnic czasowych. Chociaż zwiększa to niezawodność poprzez zmniejszenie liczby odrzuconych żądań, wiąże się to również z ryzykiem naruszenia bezpieczeństwa i wydajności. Z kolei mniejsza wartość zwiększa prawdopodobieństwo niepowodzenia uwierzytelniania z powodu przekroczenia limitu czasu.
  5. Jeśli używasz platformy Microsoft Azure jako dostawcy tożsamości, administrator dostawcy tożsamości może zapoznać się z Krokiem 2 na karcie Azure w temacie Konfigurowanie logowania jednokrotnego SAML przy użyciu dostawcy tożsamości.
  6. Jeśli używasz Okta jako dostawcy tożsamości, administrator dostawcy tożsamości może zapoznać się z Krokiem 3 na karcie Okta w Konfigurowanie logowania jednokrotnego SAML z dostawcą tożsamości.
  7. Jeśli używasz innego dostawcy tożsamości niż Microsoft Azure lub Okta, skontaktuj się z działem obsługi klienta swojego dostawcy tożsamości, aby uzyskać pomoc.

 

Krok 4: Wprowadź metadane swojego dostawcy tożsamości do Workiva

Wymagania wstępne: Przed kontynuowaniem należy uzyskać od administratora dostawcy tożsamości wymagane metadane dostawcy tożsamości.

W sekcji metadanych dostawcy tożsamości (na przykład metadane Microsoft Azure) wprowadź metadane dostawcy tożsamości.

  1. Najpierw z listy rozwijanej Preferowana metoda wprowadzania wybierz sposób wprowadzania metadanych dostawcy tożsamości. Możesz wprowadzić adres URL metadanych federacji, przesłać plik XML metadanychlub wprowadzić metadane za pomocą wprowadzania ręcznego.

  2. W oknie dialogowym wyboru pliku wybierz plik zawierający informacje o metadanych dostawcy tożsamości, a następnie kliknij Importuj.

    Alternatywnie możesz wprowadzić wartości ręcznie:

 

Krok 5: Ustaw mapowanie użytkowników

W sekcji Mapowanie użytkowników kliknij listę rozwijaną i wybierz jedną z opcji:

  • Przypisz użytkowników do ich nazwy użytkownika Workiva (zalecane)
  • Mapuj użytkowników ręcznie

Uwaga: Jeśli wprowadzono ręcznie metadane dostawcy tożsamości, konieczne będzie włączenie Opcji zaawansowanych w tej sekcji.

Mapowanie użytkowników na ich nazwę użytkownika Workiva

Jeśli na liście rozwijanej wybrano opcję Mapuj użytkowników na ich nazwę użytkownika Workiva, Workiva będzie oczekiwać, że przychodzący atrybut Primary NameID będzie zgodny z nazwą użytkownika Workiva, ignorując wielkość liter, gdy użytkownik się zaloguje. Na przykład pozwala to na dopasowanie User.Name.Example do user.name.example.

Następnie możesz kliknąć menu rozwijane Ustaw mapowanie i wybrać opcję Ustaw wszystkie identyfikatory SSO na nazwę użytkownika Workiva, aby wypełnić tabelę.

Kliknij Utwórz konfigurację , aby kontynuować.

 

Ręczne mapowanie użytkowników

Jeśli na liście rozwijanej wybrano opcję Mapuj użytkowników ręcznie , najpierw sprawdź opcje zaawansowane. W obszarze Lokalizacja identyfikatora nazwywiększość konfiguracji będzie miała zaznaczoną opcję Identyfikator nazwy znajduje się w poleceniu tematu. Oznacza to, że Workiva sprawdzi, czy w poleceniu Subject znajduje się element NameIdentifier.

Można jednak wybrać opcję NameIdentifier znajduje się w innym atrybucie elementu i wprowadzić NameIdentifier atrybut elementu, aby aplikacja szukała atrybutu w odpowiedzi SAML.

Uwaga: Większość administratorów zabezpieczeń organizacji nie zmieni domyślnej lokalizacji NameIdentifier. Przed wprowadzeniem zmian skontaktuj się z działem pomocy technicznej Workiva w celu uzyskania pomocy.

Użytkownicy mapy poprzez import pliku

Kliknij Ustaw mapowaniei wybierz Importuj identyfikatory SSO przez plik, aby zamapować użytkowników na identyfikatory SSO w pliku mapowania .csv (zobacz Wymagania dotyczące pliku mapowania identyfikatorów SAML .csv).

  • W pliku mapowania nie ma potrzeby umieszczania nagłówków.
  • Wszystkie wiersze zostaną przetworzone, a wszystkie nieprawidłowe zostaną pominięte.
  • Jeśli występują duplikaty nazw użytkowników, użyty zostanie tylko pierwszy wiersz zawierający daną nazwę użytkownika.
  • Jeśli podana nazwa użytkownika ma już istniejące mapowanie, to mapowanie to zostanie zaktualizowane zgodnie z informacjami zawartymi w pliku mapowania.
  • W przypadku pominięcia wierszy błędy zostaną zarejestrowane w dzienniku aktywności logowania jednokrotnego SAML ].

Mapuj użytkowników indywidualnie

Jeśli chcesz ustawić lub edytować identyfikatory SSO dla poszczególnych użytkowników, wyszukaj użytkownika i/lub użyj filtra Status identyfikatora SSO , aby łatwiej znaleźć użytkownika. Następnie w tabeli kliknij dwukrotnie pole SSO ID obok użytkownika i wprowadź poprawny SSO ID.

manual sso id.png

 

Po ustawieniu mapowania użytkownika kliknij Utwórz konfigurację , aby kontynuować.

 

Wymagania dotyczące pliku mapowania identyfikatorów SAML w formacie CSV

Prawidłowy wiersz w pliku mapowania identyfikatora SAML .csv ma ​​następujący format:

samlId,nazwa użytkownika

Wiersz może być nieprawidłowy, jeżeli:

  • W rzędzie jest mniej niż dwa elementy
  • Nie podano identyfikatora SAML i/lub nazwy użytkownika
  • Podana nazwa użytkownika nie istnieje
  • Użytkownik o podanej nazwie użytkownika nie jest członkiem organizacji
  • Główna organizacja użytkownika o podanej nazwie użytkownika nie jest taka sama, jak organizacja, którą aktualnie modyfikujemy
  • Podany identyfikator SAML został już zajęty przez innego użytkownika

Przykładowy prawidłowy plik mapowania wygląda następująco:

przykładSamlId, przykładowa nazwa użytkownika przykładSamlId2, przykładowa nazwa użytkownika2 przykładSamlId3, przykładowa nazwa użytkownika3

 

Krok 6: Aktywuj konfigurację logowania jednokrotnego SAML

Po utworzeniu konfiguracji SAML SSO należy ją jawnie aktywować, aby konfiguracja zaczęła obowiązywać.

Kliknij Aktywuj w konfiguracji. Twoja konfiguracja będzie wtedy wyświetlana jako Aktywna.

AzureID Activation x2 callout.png

 

Krok 7: Aktualizacja opcji uwierzytelniania SAML SSO

Workiva zdecydowanie zaleca, aby zmuszać użytkowników do logowania się za pomocą funkcji SSO jako najlepszą praktykę w celu uproszczenia procesu logowania i zapewnienia lepszego ogólnego doświadczenia użytkownika. Po utworzeniu i aktywowaniu konfiguracji SAML SSO:

  1. Na karcie Logowanie jednokrotne w sekcji Wymuś logowanie jednokrotne i wyjątki znajdują się dwie opcje uwierzytelniania:

    • Wymuś logowanie użytkowników przy użyciu logowania jednokrotnego (Zalecane): Użytkownicy bez uprawnień administratora są zmuszeni do korzystania z logowania jednokrotnego, natomiast administratorzy zabezpieczeń organizacji mogą nadal logować się przy użyciu swojej nazwy użytkownika i hasła. Ta opcja sprawdza się najlepiej, jeśli Twoja firma chce wymusić logowanie jednokrotne, ale jednocześnie zezwolić administratorom zabezpieczeń organizacji na dostęp do platformy w przypadku wystąpienia problemów z logowaniem jednokrotnym.

      Uwaga: Przed włączeniem tej opcji należy przeprowadzić kompleksowe testy i upewnić się, że masz pełne zaufanie do konfiguracji logowania jednokrotnego SAML.
    • Wymuś logowanie administratorów zabezpieczeń organizacji przy użyciu logowania jednokrotnego: Administratorzy zabezpieczeń organizacji są zmuszeni do korzystania z logowania jednokrotnego. Opcja ta sprawdza się najlepiej, jeśli zasady bezpieczeństwa firmy nie przewidują zwolnienia użytkowników z wymogu logowania jednokrotnego (SSO). Aby włączyć tę opcję, musisz także zaznaczyć opcję Wymuś logowanie użytkowników przy użyciu logowania jednokrotnego.
  2. Po wybraniu opcji kliknij Zapisz.

Jeśli chcesz, możesz zezwolić określonym użytkownikom na logowanie się bez użycia funkcji SAML SSO, dodając ich do listy wyjątków SSO.

Uwaga: Przed wymuszeniem logowania jednokrotnego SAML należy dodać niezbędnych użytkowników do listy wyjątków logowania jednokrotnego, aby uniknąć zablokowania użytkownikom dostępu do ich kont.

 

Skonfiguruj logowanie jednokrotne SAML u swojego dostawcy tożsamości

Administrator dostawcy tożsamości może zapoznać się z poniższymi krokami dotyczącymi konfiguracji logowania jednokrotnego SAML przy użyciu popularnych dostawców tożsamości.

Obsługiwane funkcje

  • SSO inicjowane przez SP
  • SSO inicjowane przez dostawcę tożsamości
  • SLO (pojedyncze wylogowanie) zainicjowane przez dostawcę tożsamości
  • Lista wyjątków SSO
  • Opcjonalne szyfrowanie potwierdzenia

 

Krok 1: Dodaj integrację

  1. Zaloguj się do portalu administracyjnego Okta i w obszarze Aplikacjewybierz opcję Przeglądaj katalog aplikacji.
  2. W katalogu integracji aplikacji wyszukaj Workiva i wybierz ją. Następnie kliknij Dodaj integrację.
  3. Skonfiguruj ustawienia ogólne zgodnie z polityką i procedurami IT. Następnie kliknij Dalej.

 

Krok 2: Wprowadź metadane Okta do Workiva

W sekcji SAML 2.0 pozostaw pole Domyślny stan przekaźnika puste. Pobierz plik XML metadanych i prześlij go do Workiva zgodnie z opisem w Krok 4 w Workiva: Wprowadź metadane swojego dostawcy tożsamości do Workiva.
Jednym ze sposobów pobrania pliku XML jest skopiowanie adresu URL metadanych, wklejenie go do przeglądarki, a następnie zapisanie strony jako pliku XML.

 

Krok 3: Wprowadź metadane Workiva do Okta

Korzystając z adresów URL Workiva znalezionych w Krok 3 w Workiva: Wyślij metadane Workiva do administratora swojego dostawcy tożsamości:

  • Skopiuj i wklej Workiva ACS URL w polu Okta ACS URL.
  • Skopiuj i wklej adres URL grupy odbiorców Workiva w polu Adres URL grupy odbiorców Okta .

 

Krok 4: Edytuj atrybuty i roszczenia

W atrybutach i oświadczeniach Okta zaleca się dopasowanie nazwy użytkownika Workiva (bez względu na wielkość liter) do atrybutu Primary NameID, aby Workiva automatycznie mapowała atrybut na nazwę użytkownika Workiva, gdy użytkownik loguje się przy użyciu funkcji SSO po raz pierwszy. Jednakże mapowanie to zależy od konkretnych zasad IT.

Jeśli te atrybuty nie pasują, musisz ręcznie zmapować atrybut na odpowiednią nazwę użytkownika, zgodnie z opisem w Kroku 5 w Workiva: Ustaw mapowanie użytkowników, zanim użytkownik będzie mógł zalogować się przy użyciu logowania jednokrotnego.

 

Proces SSO zainicjowany przez SP

Proces logowania rozpoczyna się z adresu URL dostawcy usług (SP) app.wdesk.com, eu.wdesk.com lub apac.wdesk.com Twojej organizacji macierzystej.

  1. W przeglądarce przejdź do strony logowania Workiva.
  2. Wprowadź swoją nazwę użytkownika Workiva.
  3. Kliknij Zaloguj się przy użyciu logowania jednokrotnego.
  4. Zostaniesz przekierowany na stronę logowania swojej organizacji.
  5. Wprowadź swoje dane uwierzytelniające i zalicz wszelkie dodatkowe wyzwania zgodnie z polityką Twojej organizacji.
  6. Zostaniesz przekierowany do Workiva i zalogowany do interfejsu.

Krok 1: Utwórz aplikację

  1. Zaloguj się do portalu administracyjnego platformy Azure i przejdź do Microsoft Entra ID > Aplikacje korporacyjne.
  2. Kliknij Nowa aplikacja.
  3. Wyszukaj Workiva i wybierz ją.
    Należy pamiętać, że jeśli planujesz wdrożenie SCIM, konieczne będzie utworzenie aplikacji niestandardowej.
  4. Nadaj nazwę aplikacji, a następnie kliknij Utwórz.
  5. Po utworzeniu aplikacji przejdź do Logowanie jednokrotne > SAML.

 

Krok 2: Wprowadź metadane Workiva do Microsoft Azure

  1. Edytuj Podstawową konfigurację SAML.
  2. Korzystając z adresów URL Workiva znalezionych w Krok 3 w Workiva: Wyślij metadane Workiva do administratora swojego dostawcy tożsamości:
    1. Skopiuj i wklej identyfikator Workiva (identyfikator jednostki) do pola Identyfikator Azure (identyfikator jednostki).
    2. Skopiuj i wklej adres URL odpowiedzi Workiva w polu Adres URL odpowiedzi Azure (adres URL usługi konsumenckiej potwierdzenia).
    3. (Opcjonalnie) Skopiuj i wklej adres URL logowania Workiva w polu Adres URL logowania Azure .
    4. Pole Stan przekaźnika pozostaw puste.
    5. (Opcjonalnie) Skopiuj i wklej adres URL wylogowania Workiva w polu Adres URL wylogowania Azure .

 

Krok 3: Edytuj atrybuty i roszczenia

Po zapisaniu konfiguracji należy edytować Atrybuty i oświadczenia. Zaleca się dopasowanie nazwy użytkownika Workiva (bez uwzględniania wielkości liter) do atrybutu Primary NameID, aby Workiva automatycznie mapowała atrybut na nazwę użytkownika Workiva, gdy użytkownik loguje się przy użyciu funkcji SSO po raz pierwszy. Jednakże mapowanie to zależy od konkretnych zasad IT.

  • Jeśli te atrybuty nie pasują, musisz ręcznie zmapować atrybut na odpowiednią nazwę użytkownika, zgodnie z opisem w Kroku 5 w Workiva: Ustaw mapowanie użytkowników, zanim użytkownik będzie mógł zalogować się przy użyciu logowania jednokrotnego.
  • Workiva bierze pod uwagę wyłącznie wymagane oświadczenie Unikalny identyfikator użytkownika (NameID) dla użytkowników, a wszelkie dodatkowe oświadczenia zostaną zignorowane.

 

Krok 4: Wprowadź metadane Microsoft Azure do Workiva

Jeśli wprowadzasz metadane platformy Microsoft Azure do platformy Workiva za pośrednictwem adresu URL metadanych federacji, adres URL metadanych federacji znajdziesz w konfiguracji logowania jednokrotnego SAML platformy Azure.

Jeśli wprowadzasz metadane platformy Microsoft Azure do platformy Workiva za pośrednictwem pliku XML metadanych, w sekcji Certyfikaty SAML kliknij opcję Pobierz obok opcji Metadane federacji XML. Następnie prześlij plik XML metadanych do Workiva.

Uwaga: Jeśli używasz Microsoft Azure jako dostawcy tożsamości, upewnij się, że pole Workiva Adres URL logowania (w opcjach zaawansowanych) jest puste, w przeciwnym razie wystąpią błędy logowania.

Jeśli chcesz, aby Adres URL wylogowania (w opcjach zaawansowanych) nie znalazł się w przesłanym pliku metadanych XML, musisz wkleić tę wartość ręcznie.

 

 

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 10 z 34
Administratorzy zabezpieczeńorganizacji mogą wykonać poniższe kroki, aby skonfigurować ustawienia logowania jednokrot...