|
Klassiska filtyper är inte längre tillgängliga för användning från och med januari 2021. Du kan överföra dina klassiska filer eller ladda ner en PDF. Läs mer

Workiva supportcenter

Konfigurera SAML samlad inloggning

Konfigurera SAML samlad inloggning

  • Senast uppdaterad
Relaterad till sso

Org Security Admins kan följa stegen nedan för att konfigurera SAML samlad inloggning inställningar för organisationen. SAML-baserad samlad inloggning (SSO) ger medlemmar åtkomst till Workiva via en identitetsleverantör (IdP). Innan du konfigurerar inställningar bör du se till att du har läst Vad är SAML samlad inloggning?.

Obs: Org Security Admins måste läggas till på en arbetsyta för att få åtkomst till Organization Admin.

 

Steg 1: Navigera till SAML SSO-inställningar

  1. Gå till Organisation Admin.
  2. Klicka på Säkerhet i vänstermenyn.
  3. Klicka på fliken Enkel inloggning.

Om du har en befintlig SSO-konfiguration kommer sidan att se ut så här:

 

 

Steg 2: Skapa din SAML SSO-konfiguration och välj din identitetsleverantör

  1. Klicka på Skapa SSO-konfiguration.
  2. Ange ett konfigurationsnamn och välj identitetsleverantör (IdP) från rullgardinsmenyn.
  3. Klicka på Skapa konfiguration för att fortsätta.

Create SAML SSO configuration.png

 

Steg 3: Skicka Workiva-metadata till din identitetsleverantörsadministratör

  1. Under avsnittet Workiva-metadata ser du Identifier (Entity ID) och Svars-URL.
  2. Klicka på Avancerade alternativ för att se Inloggnings-URL och Utloggnings-URL.
    Dessa URL:er är unika för varje organisation och kan inte ändras, och kommer att innehålla app.wdesk.com, eu.wdesk.comeller apac.wdesk.com.
    Workiva metadata.jpg
  3. Skicka dessa Workiva-metadata-URL:er till din identitetsleverantörsadministratör.
    Du kan också klicka på Ladda ner Workiva-metadata-XML för att ladda ner och skicka Workiva-metadata-XML-filen till din identitetsleverantörsadministratör istället.

  4. Du kan justera din klockförskjutningstillstånd. Clock Skew Allowance är den maximalt tillåtna tidsskillnaden mellan din SAML-identitetsleverantör och Workiva. Standardvärdet är 300 sekunder (5 minuter).

    Tips: Ett större värde utökar "acceptansfönstret" för tidsskillnader. Även om detta förbättrar tillförlitligheten genom att minska antalet avvisade förfrågningar, medför det också säkerhets- och prestandarisker. Alternativt ökar ett mindre värde sannolikheten för autentiseringsfel på grund av timeouts.
  5. Om du använder Microsoft Azure som identitetsleverantör kan din identitetsleverantörsadministratör se steg 2 under fliken Azure i Konfigurera SAML SSO med din identitetsleverantör.
  6. Om du använder Okta som identitetsleverantör kan din identitetsleverantörsadministratör se steg 3 under fliken Okta i Konfigurera SAML SSO med din identitetsleverantör.
  7. Om du använder en annan identitetsleverantör än Microsoft Azure eller Okta, kontakta din identitetsleverantörs kundsupport om du behöver hjälp.

 

Steg 4: Ange din identitetsleverantörs metadata i Workiva

Förutsättning: Du måste få den nödvändiga informationen om identitetsleverantörens metadata från din identitetsleverantörsadministratör innan du fortsätter.

  • Om du använder Microsoft Azure som identitetsleverantör kan din identitetsleverantörsadministratör se steg 4 under fliken Azure i Konfigurera SAML SSO med din identitetsleverantör.
  • Om du använder Okta som din identitetsleverantör kan din identitetsleverantörsadministratör se Steg 2 under fliken Okta i Konfigurera SAML SSO med din identitetsleverantör.
  • Om du använder en annan identitetsleverantör än Microsoft Azure eller Okta, kontakta din identitetsleverantörs kundsupport för att få informationen.

Under avsnittet om identitetsleverantörens metadata (till exempel Microsoft Azure-metadata) anger du identitetsleverantörens metadata.

  1. Först, i rullgardinsmenyn Föredragen inmatningsmetod , välj hur du vill ange metadata för identitetsleverantören. Du kan ange en URL för federationsmetadata, ladda upp en XML-fil för metadataeller ange metadata via Manuell inmatning.

  2. I dialogrutan för filval väljer du den fil som innehåller metadatainformationen för identitetsleverantören och klickar sedan på Importera.

    Alternativt kan du ange värdena manuellt:

 

Steg 5: Ställ in användarmappning

I avsnittet Användarmappning klickar du på rullgardinsmenyn och väljer antingen:

  • Koppla användare till deras Workiva-användarnamn (rekommenderas)
  • Kartlägg användare manuellt

Obs: Om du har angett identitetsleverantörens metadata manuellt måste du aktivera Avancerade alternativ för det här avsnittet.

Mappa användare till deras Workiva-användarnamn

Om du valde Mappa användare till deras Workiva-användarnamn i rullgardinsmenyn, förväntar sig Workiva att det inkommande Primary NameID-attributet matchar Workiva-användarnamnet, utan att växla mellan versaler och bokstäver, när användaren loggar in. Detta gör till exempel att User.Name.Example kan matchas mot user.name.example.

Du kan sedan klicka på rullgardinsmenyn Ange mappning och välja Ange alla SSO-ID:n till Workiva-användarnamn för att fylla i tabellen.

Klicka på Skapa konfiguration för att fortsätta.

 

Mappa användare manuellt

Om du valde Mappa användare manuellt i rullgardinsmenyn, kontrollera först de avancerade alternativen. Under NameIdentifier locationkommer de flesta konfigurationer att ha alternativet NameIdentifier is in Subject statement valt. Det här innebär att Workiva kommer att kontrollera efter NameIdentifier-elementet i Subject-satsen.

Du kan dock välja alternativet NameIdentifier finns i ett annat elementattribut och ange elementattributet NameIdentifierså att applikationen letar efter attributet i SAML-svaret.

Obs: De flesta organisationssäkerhetsadministratörer kommer inte att ändra NameIdentifier-platsen från standardinställningen. Innan du gör ändringar, kontakta Workiva Support för hjälp.

Kartlägg användare via filimport

Klicka på Ange mappningoch välj Importera SSO-ID:n via fil för att mappa användare till SSO-ID:n i en .csv-mappningsfil (se Krav för SAML ID .csv-mappningsfil).

  • Inga rubriker behövs i mappningsfilen.
  • Alla rader kommer att bearbetas och alla ogiltiga rader kommer att hoppas över.
  • Om det finns dubbletter av användarnamn kommer endast den första raden med det användarnamnet att användas.
  • Om ett angivet användarnamn redan har en befintlig mappning kommer dess mappning att uppdateras till vad som anges i mappningsfilen.
  • Om rader hoppas över loggas felen i SAML-aktivitetsloggen för enkel inloggning.

Kartlägg användare individuellt

Om du behöver ange eller redigera SSO-ID:n för enskilda användare, sök efter användaren och/eller använd filtret SSO-ID-status för att enklare hitta användaren. Dubbelklicka sedan på fältet SSO-ID bredvid användaren i tabellen och ange rätt SSO-ID.

manual sso id.png

 

När du har ställt in användarmappningen klickar du på Skapa konfiguration för att fortsätta.

 

Krav på mappningsfil för SAML ID .csv

En giltig rad i mappningsfilen SAML ID .csv följer följande format:

samlId,användarnamn

En rad kan vara ogiltig om:

  • Det finns färre än två objekt i raden
  • SAML-ID och/eller användarnamn har inte angetts
  • Det angivna användarnamnet finns inte
  • Användaren med det angivna användarnamnet är inte medlem i organisationen
  • Användaren med det angivna användarnamnets primära organisation är inte densamma som den organisation som för närvarande ändras
  • Det angivna SAML-ID:t har redan tagits i anspråk av en annan användare

Ett exempel på en giltig mappningsfil ser ut så här:

exempelSamlId, exempelanvändarnamn exempelSamlId2, exempelanvändarnamn2 exempelSamlId3, exempelanvändarnamn3

 

Steg 6: Aktivera din SAML SSO-konfiguration

När du har skapat din SAML SSO-konfiguration måste du explicit aktivera den för att konfigurationen ska träda i kraft.

Klicka på Aktivera i konfigurationen. Din konfiguration kommer då att visas som Aktiv.

AzureID Activation x2 callout.png

 

Steg 7: Uppdatera SAML SSO-autentiseringsalternativ

Workiva rekommenderar starkt att man tvingar användare att logga in med SSO som en god metod för att förenkla inloggningsprocessen och ge en bättre helhetsupplevelse. När du har skapat och aktiverat din SAML SSO-konfiguration:

  1. Under fliken Enkel inloggning presenteras två autentiseringsalternativ i avsnittet Tvinga fram SSO och undantag :

    • Tvinga användare att logga in med SSO (Rekommenderas): Användare som inte är administratörer tvingas använda SSO, medan organisationssäkerhetsadministratörer kan fortsätta att logga in med sitt användarnamn och lösenord. Det här alternativet fungerar bäst om ditt företag vill tvinga fram SSO men ändå tillåta organisationssäkerhetsadministratörer att komma åt plattformen om SSO upplever några problem.

      Obs: Se till att du utför omfattande tester och att du är helt säker på din SAML SSO-konfiguration innan du aktiverar det här alternativet.
    • Tvinga organisationssäkerhetsadministratörer att logga in med SSO: Organisationssäkerhetsadministratörer tvingas använda SSO. Det här alternativet fungerar bäst om företagets säkerhetspolicyer inte vill undanta användare från SSO-kravet. För att aktivera det här alternativet måste du också markera Tvinga användare att logga in med SSO.
  2. När du har valt dina alternativ klickar du på Spara.

Om så önskas kan du tillåta specifika användare att logga in utan SAML SSO genom att lägga till dem i listan över SSO-undantag.

Obs: Innan du tvingar fram SAML SSO, se till att lägga till nödvändiga användare i listan över SSO-undantag för att undvika att låsa användare ute från sina konton.

 

Konfigurera SAML SSO med din identitetsleverantör

Din identitetsleverantörsadministratör kan se stegen nedan för hur du konfigurerar SAML SSO med vanliga identitetsleverantörer.

Funktioner som stöds

  • SP-initierad SSO
  • IdP-initierad SSO
  • IdP-initierad SLO (enkel utloggning)
  • SSO-undantagslista
  • Valfri assertion-kryptering

 

Steg 1: Lägg till integrationen

  1. Logga in på Oktas administratörsportal och under Programväljer du Bläddra i appkatalogen.
  2. I App Integration Catalog söker du efter Workiva och väljer den. Klicka sedan på Lägg till integration.
  3. Ställ in de allmänna inställningarna enligt dina IT-policyer och procedurer. Klicka sedan på Nästa.

 

Steg 2: Ange Okta-metadata i Workiva

I avsnittet SAML 2.0 lämnar du Default Relay State tomt. Ladda ner XML-filen med metadata för att ladda upp den till Workiva enligt beskrivningen i Steg 4 i Workiva: Ange din identitetsleverantörs metadata i Workiva.
Ett sätt att ladda ner XML-filen är att kopiera metadata-URL:en, klistra in den i en webbläsare och sedan spara sidan som en XML-fil.

 

Steg 3: Ange Workiva-metadata i Okta

Använda Workiva-URL:erna som finns i Steg 3 i Workiva: Skicka Workiva-metadata till din identitetsleverantörsadministratör:

  • Kopiera och klistra in Workiva ACS URL i fältet Okta ACS URL.
  • Kopiera och klistra in Workiva Audience URL i fältet Okta Audience URL.

 

Steg 4: Redigera attributen och anspråken

I Oktas attribut och anspråk rekommenderas det att matcha Workiva-användarnamnet (skiftlägesokänsligt) till attributet Primary NameID, så att Workiva automatiskt mappar attributet till Workiva-användarnamnet när användaren loggar in med SSO för första gången. Denna mappning beror dock på dina specifika IT-policyer.

Om dessa attribut inte matchar måste du manuellt mappa attributet till motsvarande användarnamn enligt beskrivningen i Steg 5 i Workiva: Ställ in användarmappning innan användaren kan logga in med SSO.

 

SP-initierad SSO-process

Inloggningsprocessen initieras från SP-URL:en app.wdesk.com, eu.wdesk.com eller apac.wdesk.com för din hemorganisation.

  1. Från din webbläsare navigerar du till Workivas inloggningssida.
  2. Ange ditt Workiva-användarnamn.
  3. Klicka på Logga in med enkel inloggning.
  4. Du kommer att omdirigeras till din organisations inloggningssida.
  5. Ange dina inloggningsuppgifter och klara eventuella extra utmaningar enligt din organisations policyer.
  6. Du kommer att omdirigeras till Workiva och vara inloggad i gränssnittet.

Steg 1: Skapa applikationen

  1. Logga in på Azure-administratörsportalen och gå till Microsoft Entra ID > Företagsapplikationer.
  2. Klicka på Ny ansökan.
  3. Sök efter Workiva och välj det.
    Tänk på att om du planerar att implementera SCIM måste du skapa en anpassad applikation.
  4. Namnge programmet och klicka sedan på Skapa.
  5. När applikationen har skapats, gå till Enkel inloggning > SAML.

 

Steg 2: Ange Workiva-metadata i Microsoft Azure

  1. Redigera den grundläggande SAML-konfigurationen.
  2. Använda Workiva-URL:erna som finns i Steg 3 i Workiva: Skicka Workiva-metadata till din identitetsleverantörsadministratör:
    1. Kopiera och klistra in Workiva Identifier (Entity ID) i fältet Azure Identifier (Entity ID).
    2. Kopiera och klistra in Workiva Svars-URL i fältet Azure Svars-URL (Assertion Consumer Service URL).
    3. (Valfritt) Kopiera och klistra in Workiva Sign-on URL i fältet Azure Sign-on URL.
    4. Lämna fältet Relay State tomt.
    5. (Valfritt) Kopiera och klistra in Workiva Utloggnings-URL i fältet Azure Utloggnings-URL.

 

Steg 3: Redigera attributen och anspråken

När konfigurationen har sparats, redigera Attribut och anspråk. Det rekommenderas att matcha Workiva-användarnamnet (omärkligt med versaler och skiftlägen) med attributet Primärt namn-ID, så att Workiva automatiskt mappar attributet till Workiva-användarnamnet när användaren loggar in med SSO för första gången. Denna mappning beror dock på dina specifika IT-policyer.

  • Om dessa attribut inte matchar måste du manuellt mappa attributet till motsvarande användarnamn enligt beskrivningen i Steg 5 i Workiva: Ställ in användarmappning innan användaren kan logga in med SSO.
  • Workiva tittar bara på det obligatoriska anspråket Unique User Identifier (NameID) för användarna och alla ytterligare anspråk kommer att ignoreras.

 

Steg 4: Ange Microsoft Azure-metadata i Workiva

Om du anger Microsoft Azure-metadata i Workiva via URL:en för federationsmetadata kan du hitta URL:en för federationsmetadata i Azure SAML SSO-konfigurationen.

Om du anger Microsoft Azure-metadata i Workiva via en XML-metadatafil klickar du på Ladda ner [ bredvid Federation Metadata XML [] i avsnittet SAML-certifikat. Ladda sedan upp XML-filen med metadata till Workiva.

Obs: Om du använder Microsoft Azure som identitetsleverantör, se till att fältet Workiva Inloggnings-URL (under Avancerade alternativ) lämnas tomt, annars kommer det att uppstå inloggningsfel.

Om du vill ha en Utloggnings-URL (under de avancerade alternativen) men det värdet inte finns i din uppladdade XML-metadatafil, måste du klistra in det värdet manuellt.

 

 

Var denna artikel till hjälp?
10 av 34 tyckte detta var till hjälp
Org Security Admins kan följa stegen nedan för att konfigurera SAML samlad inloggning inställningar för organisatione...