组织安全 管理员可以按照以下步骤配置组织的 SAML单点登录 设置。基于 SAML 的单点登录 (SSO) 使成员能够通过身份提供商 (IdP) 访问 Workiva。在配置设置之前,请确保您已查看 什么是 SAML 单点登录?。
注意: 组织安全管理员必须 被添加到 工作区才能访问组织管理权限
。
步骤 1:导航至 SAML SSO 设置
- 前往组织管理。
- 点击左侧菜单中的 安全 。
- 点击 “单点登录 ”选项卡。
如果您已有 SSO 配置,页面将显示如下:
步骤 2:创建 SAML 单点登录配置并选择身份提供商
- 点击 创建 SSO 配置。
- 输入 配置名称 ,然后从下拉列表中选择 身份提供程序 (IdP) 。
- 点击 创建配置 继续。
步骤 3:将 Workiva 元数据发送给您的身份提供商管理员
- 在 Workiva 元数据 部分下,您将看到 标识符(实体 ID) 和 回复 URL。
- 点击 高级选项 查看 登录 URL 和 注销 URL。
这些 URL 对于每个组织都是唯一的,不能修改,并且将包含app.wdesk.com、eu.wdesk.com或apac.wdesk.com。 - 将这些 Workiva 元数据 URL 发送给您的身份提供商管理员。
您也可以点击 下载 Workiva 元数据 XML 下载 Workiva 元数据 XML 文件并将其发送给您的身份提供商管理员。 -
您可以调整 时钟偏差补偿。时钟偏差允许值是指您的 SAML 身份提供商和 Workiva 之间允许的最大时间差。默认值为 300 秒(5 分钟)。
提示:值越大,对时差的“接受范围”就越大。虽然这通过减少被拒绝的请求来提高可靠性,但也带来了安全性和性能风险。或者说,较小的值会增加因超时而导致身份验证失败的概率。
- 如果使用 Microsoft Azure 作为身份提供程序,则身份提供程序管理员可以参考 Azure 选项卡 中的 [] 步骤 2 [] ,在 中配置与身份提供程序的 SAML SSO。
- 如果使用 Okta 作为身份提供商,您的身份提供商管理员可以参考 Okta 选项卡 中的 [] 步骤 3 [] ,以及 与您的身份提供商配置 SAML SSO。
- 如果使用的身份提供商不是 Microsoft Azure 或 Okta,请联系您的身份提供商的客户支持以获取帮助。
步骤 4:将您的身份提供商元数据输入 Workiva
前提条件: 在继续操作之前,您需要从身份提供商管理员处获取所需的身份提供商元数据信息。
- 如果您使用 Microsoft Azure 作为您的身份提供程序,您的身份提供程序管理员可以参考 Azure 选项卡 中的 [] 4 步,以及 与您的身份提供程序配置 SAML SSO。
- 如果您使用 Okta 作为您的身份提供商,您的身份提供商管理员可以参考 Okta 选项卡 中的 [] 步骤 2 [] ,以及 与您的身份提供商配置 SAML SSO。
- 如果使用的身份提供商不是 Microsoft Azure 或 Okta,请联系您的身份提供商的客户支持部门以获取相关信息。
在身份提供程序元数据部分(例如, Microsoft Azure 元数据),输入身份提供程序元数据。
- 首先,在 首选输入方法 下拉列表中,选择您希望如何输入身份提供程序元数据。您可以输入 联合元数据 URL,上传 元数据 XML 文件,或通过 手动输入输入元数据。
-
在文件选择对话框中,选择包含身份提供程序元数据信息的文件,然后单击 导入。
或者,您可以手动输入这些值:
步骤 5:设置用户映射
在 “用户映射 ”部分,单击下拉菜单,然后选择以下选项之一:
- 将用户映射到他们的 Workiva 用户名 (推荐)
- 手动地图用户
注意: 如果您已手动输入身份提供程序元数据信息,则需要为此部分启用 高级选项 。
将用户与其 Workiva 用户名关联
如果您在下拉菜单中选择了 将用户映射到他们的 Workiva 用户名 ,则当用户登录时,Workiva 将期望传入的 Primary NameID 属性与 Workiva 用户名匹配,忽略大小写。例如,这允许 User.Name.Example 与 user.name.example 进行匹配。
然后,您可以单击 设置映射 下拉菜单,并选择 将所有 SSO ID 设置为 Workiva 用户名 来填充表格。
点击 创建配置 继续。
手动映射用户
如果您在下拉菜单中选择了 手动映射用户 ,请先检查高级选项。在 NameIdentifier 位置下,大多数配置都会选择 NameIdentifier 在 Subject 语句 中 选项。这意味着 Workiva 将检查 Subject 语句中的 NameIdentifier 元素。
但是,您可以选择 “ NameIdentifier 位于不同的元素属性 ”选项,并输入 “ NameIdentifier 元素属性” ,以便应用程序在 SAML 响应中查找该属性。
注意: 大多数组织安全管理员不会更改 NameIdentifier 的默认位置。在进行任何更改之前,请 联系Workiva 技术支持寻求帮助
。通过文件导入映射用户
单击 设置映射,然后选择 通过文件导入 SSO ID 将用户映射到 .csv 映射文件中的 SSO ID(请参阅 SAML ID .csv 映射文件要求)。
- 映射文件中不需要任何头部信息。
- 所有行都将被处理,任何无效行都将被跳过。
- 如果存在重复的用户名,则仅使用第一个包含该用户名的行。
- 如果提供的用户名已经存在映射,则其映射将更新为映射文件中提供的内容。
- 如果跳过某些行,则失败信息将记录在 SAML单点登录活动日志中。
地图用户单独
如果您需要单独设置或编辑用户的 SSO ID,请搜索用户和/或使用 SSO ID 状态 筛选器,以便更轻松地找到用户。然后,在表格中,双击用户旁边的 SSO ID 字段,然后输入正确的 SSO ID。
设置用户映射后,点击 创建配置 继续。
SAML ID .csv 映射文件要求
SAML ID .csv 映射文件中的有效行遵循以下格式:
samlId,用户名如果出现以下情况,则该行可能无效:
- 这一行中的物品少于两件。
- 未提供 SAML ID 和/或用户名。
- 提供的用户名不存在。
- 提供的用户名对应的用户不是该组织的成员。
- 提供用户名的用户的主要组织与当前正在修改的组织不同。
- 提供的 SAML ID 已被其他用户占用
一个有效的映射文件示例如下所示:
exampleSamlId,exampleUsername exampleSamlId2,exampleUsername2 exampleSamlId3,exampleUsername3
步骤 6:激活您的 SAML SSO 配置
创建 SAML SSO 配置后,需要显式激活该配置才能使其生效。
点击配置中的 激活 。您的配置将显示为 已激活。
步骤 7:更新 SAML SSO 身份验证选项
Workiva 强烈建议强制用户使用 SSO 登录,这是简化登录流程并提供更好整体体验的最佳实践。创建并激活 SAML SSO 配置后:
- 在 “单点登录 ”选项卡下的 “强制 SSO 和例外 ”部分提供了两种身份验证选项:
-
强制用户使用 SSO 登录 (推荐):非管理员用户将被强制使用 SSO,而组织安全管理员可以继续使用其用户名和密码登录。如果您的公司想要强制使用 SSO,但又希望在 SSO 出现任何问题时允许组织安全管理员访问平台,那么此选项最为有效。
注意:启用此选项前
,请 务必进行全面测试,并确保您对 SAML SSO 设置完全满意。 - 强制组织安全管理员使用 SSO 登录: 组织安全管理员必须使用 SSO。如果公司安全策略不希望豁免用户遵守 SSO 要求,则此选项效果最佳。要启用此选项,您还需要选中 强制用户使用 SSO 登录。
-
- 选择选项后,点击 保存。
如果需要,您可以通过将特定用户添加到 SSO 例外列表 中,允许他们无需 SAML SSO 即可登录。
注意:在强制使用 SAML 单点登录之前,请务必将必要的用户添加到 SSO 例外列表中
,以避免用户被锁定在其帐户之外。
与您的身份提供商配置 SAML 单点登录
您的身份提供商管理员可以参考以下步骤,了解如何使用常见的身份提供商配置 SAML SSO。
支持的功能
- SP发起的SSO
- 身份提供商发起的单点登录
- 身份提供商发起的单点注销 (SLO)
- SSO例外列表
- 可选断言加密
步骤 1:添加集成
- 登录 Okta 管理门户,在 应用程序下,选择 浏览应用程序目录。
- 在 应用集成目录中,搜索 Workiva 并选择它。然后单击 添加集成。
- 根据贵公司的IT政策和流程设置常规设置。然后单击 下一步。
步骤 2:将 Okta 元数据输入 Workiva
在 SAML 2.0 部分,将 默认中继状态 留空。下载元数据 XML 文件,并按照 Workiva 中的步骤 4 上传到 Workiva:将您的身份提供商元数据输入到 Workiva中。
下载 XML 文件的一种方法是复制元数据 URL,将其粘贴到浏览器中,然后将页面另存为 XML 文件。
步骤 3:将 Workiva 元数据输入 Okta
使用 Workiva步骤 3 中找到的 Workiva URL:将 Workiva 元数据发送给您的身份提供商管理员:
- 将 Workiva ACS URL 复制并粘贴到 Okta ACS URL字段中。
- 复制 Workiva 受众 URL 并粘贴到 Okta 受众 URL字段中。
步骤 4:编辑属性和声明
在 Okta 的属性和声明中,建议将 Workiva 用户名(不区分大小写)与主 NameID 属性匹配,以便 Workiva 在用户首次使用 SSO 登录时自动将该属性映射到 Workiva 用户名。但是,这种映射关系取决于您具体的IT策略。
如果这些属性不匹配,则需要按照 Workiva 中的步骤 5:设置用户映射 中的说明,手动将属性映射到相应的用户名,然后用户才能使用 SSO 登录。
SP发起的SSO流程
登录过程从您所在组织的 SP URL app.wdesk.com、eu.wdesk.com 或 apac.wdesk.com 发起。
- 在浏览器中,访问 Workiva 登录页面。
- 请输入您的 Workiva 用户名。
- 点击“使用单点登录”登录。
- 您将被重定向到您所在组织的登录页面。
- 请输入您的凭证,并根据您所在组织的政策通过任何额外的验证。
- 您将被重定向到 Workiva 并登录到其界面。
步骤 1:创建应用程序
- 登录到 Azure 管理门户,然后转到 Microsoft Entra ID > 企业应用程序。
- 点击 新建应用程序。
- 搜索 Workiva 并选择它。
请注意,如果您计划实施 SCIM,则需要创建一个自定义应用程序。 - 为应用程序命名,然后单击 创建。
- 应用程序创建完成后,转到 单点登录 > SAML。
步骤 2:将 Workiva 元数据输入到 Microsoft Azure 中
- 编辑 基本 SAML 配置。
- 使用 Workiva步骤 3 中找到的 Workiva URL:将 Workiva 元数据发送给您的身份提供商管理员:
- 将 Workiva 标识符(实体 ID) 复制并粘贴到 Azure 标识符(实体 ID) 字段中。
- 复制 Workiva 回复 URL 并将其粘贴到 Azure 回复 URL(断言使用者服务 URL) 字段中。
- (可选)将 Workiva 登录 URL 复制并粘贴到 Azure 登录 URL 字段中。
- 将 “中继状态 ”字段留空。
- (可选)将 Workiva 注销 URL 复制并粘贴到 Azure 注销 URL 字段中。
步骤 3:编辑属性和声明
配置保存后,编辑 属性和声明。建议将 Workiva 用户名(不区分大小写)与主 NameID 属性匹配,以便 Workiva 在用户首次使用 SSO 登录时自动将该属性映射到 Workiva 用户名。但是,这种映射关系取决于您具体的IT策略。
- 如果这些属性不匹配,则需要按照 Workiva 中的步骤 5:设置用户映射 中的说明,手动将属性映射到相应的用户名,然后用户才能使用 SSO 登录。
- Workiva 只关注用户所需的声明 唯一用户标识符 (NameID) ,任何其他声明都将被忽略。
步骤 4:将 Microsoft Azure 元数据输入 Workiva
如果您通过联合元数据 URL 将 Microsoft Azure 元数据输入到 Workiva 中,则可以在 Azure SAML SSO 配置中找到联合元数据 URL。
如果您要通过元数据 XML 文件将 Microsoft Azure 元数据输入到 Workiva 中,请在 SAML 证书 部分中,单击 联合元数据 XML旁边的 ] 下载 。然后将元数据 XML 文件上传到 Workiva。
注意:如果您使用 Microsoft Azure 作为身份提供程序,请确保 Workiva登录 URL 字段(位于“高级选项
”下 )留空 ,否则会出现登录错误。如果您想要一个 注销 URL (在高级选项下),但您上传的 XML 元数据文件中找不到该值,则需要手动粘贴该值。