組織安全性管理員可以按照以下步驟為組織配置SAML單一登入設定。SAML型單一登入(SSO)可讓成員透過身分供應商(IdP)存取Workiva。在進行設定之前,請確保您已審閱什麼是SAML單一登入?。
附註::組織安全管理員必須加入工作區,才能存取組織管理員。
步驟 1:導覽至 SAML SSO 設定
- 前往組織管理員。
- 點選左側選單中的 安全性 。
- 點選 「單一登入 」標籤。
如果您已有 SSO 配置,頁面將顯示如下:
步驟 2:建立 SAML 單一登入設定並選擇身分提供者
- 點選 建立 SSO 設定。
- 輸入 設定名稱 ,然後從下拉清單中選擇 身分提供者 (IdP) 。
- 點選 建立配置 繼續。
步驟 3:將 Workiva 元資料傳送給您的身分提供者管理員
- 在 Workiva 元資料 部分下,您將看到 識別碼(實體 ID)和 回應 URL。
- 點選 進階選項 查看 登入 URL 和 登出 URL。
這些 URL 對於每個組織都是唯一的,不能修改,並且將包含app.wdesk.com、eu.wdesk.com或apac.wdesk.com。 - 將這些 Workiva 元資料 URL 傳送給您的身分提供者管理員。
您也可以點擊 下載 Workiva 元資料 XML 下載 Workiva 元資料 XML 檔案並傳送給您的身分提供者管理員。 -
您可以調整 時鐘偏差補償。時鐘偏差允許值是指您的 SAML 身分提供者和 Workiva 之間允許的最大時間差。預設值為 300 秒(5 分鐘)。
提示:數值越大,對時差的「接受範圍」就越大。雖然這透過減少被拒絕的請求來提高可靠性,但也帶來了安全性和效能風險。或者說,較小的值會增加因逾時而導致身份驗證失敗的機率。
- 如果使用 Microsoft Azure 作為身分提供者,則身分提供者管理員可以參考 Azure 標籤 中的 [] 步驟 2 [] ,在 中設定與身分提供者的 SAML SSO。
- 如果使用 Okta 作為身分提供者,您的身分提供者管理員可以參考 Okta 標籤 中的 [] 步驟 3 [] ,以及 與您的身分提供者設定 SAML SSO。
- 如果使用的身分識別提供者不是 Microsoft Azure 或 Okta,請聯絡您的身分提供者的客戶支援以取得協助。
步驟 4:將您的身分提供者元資料輸入 Workiva
前提條件: 在繼續操作之前,您需要從身分提供者管理員處取得所需的身分提供者元資料資訊。
- 如果您使用 Microsoft Azure 作為您的身分提供者,您的身分提供者管理員可以參考 Azure 標籤 中的 [] 4 步,以及 與您的身分提供者設定 SAML SSO。
- 如果您使用 Okta 作為您的身分提供者,您的身分提供者管理員可以參考 Okta 標籤 中的 [] 步驟 2 [] ,以及 與您的身分提供者設定 SAML SSO。
- 如果使用的身分識別提供者不是 Microsoft Azure 或 Okta,請聯絡您的身分提供者的客戶支援部門以取得相關資訊。
在身分提供者元資料部分(例如, Microsoft Azure 元資料),輸入身分提供者元資料。
- 首先,在 首選輸入方法 下拉清單中,選擇您希望如何輸入身分提供程式元資料。您可以輸入 聯合元資料 URL,上傳 元資料 XML 檔案,或透過 手動輸入輸入元資料。
-
在檔案選擇對話方塊中,選擇包含身分提供程式元資料資訊的文件,然後按一下 匯入。
或者,您可以手動輸入這些值:
步驟 5:設定使用者映射
在 「使用者映射 」部分,按一下下拉式選單,然後選擇以下選項之一:
- 將使用者對應到他們的 Workiva 使用者名稱 (建議)
- 手動對應使用者
注意: 如果您已手動輸入身分提供程式元資料訊息,則需要為此部分啟用 進階選項 。
將使用者與其 Workiva 使用者名稱關聯
如果您在下拉式選單中選擇了 將使用者對應到他們的 Workiva 使用者名稱 ,則當使用者登入時,Workiva 將期望傳入的 Primary NameID 屬性與 Workiva 使用者名稱匹配,忽略大小寫。例如,這可讓 User.Name.Example 與 user.name.example 相符。
然後,您可以點擊 設定映射 下拉選單,並選擇 將所有 SSO ID 設為 Workiva 使用者名稱 來填入表格。
點選 建立配置 繼續。
手動映射用戶
如果您在下拉式選單中選擇了 手動對應使用者 ,請先檢查進階選項。在 NameIdentifier 位置下,大多數設定都會選擇 NameIdentifier 在 Subject 語句 中 選項。這表示 Workiva 將檢查 Subject 語句中的 NameIdentifier 元素。
但是,您可以選擇 「 NameIdentifier 位於不同的元素屬性 」選項,並輸入 「 NameIdentifier 元素屬性」 ,以便應用程式在 SAML 回應中尋找該屬性。
注意: 大多數組織安全管理員不會更改 NameIdentifier 的預設位置。在進行任何更改之前,請 聯絡Workiva 技術支援尋求協助
。透過檔案導入映射用戶
按一下 設定映射,然後選擇 透過檔案匯入 SSO ID 將使用者對應到 .csv 映射檔案中的 SSO ID(請參閱 SAML ID .csv 映射檔案要求)。
- 在映射檔案中不需要任何頭部資訊。
- 所有行都將被處理,任何無效行都將被跳過。
- 如果存在重複的使用者名,則僅使用第一個包含該使用者名稱的行。
- 如果提供的使用者名稱已經存在映射,則其映射將更新為映射檔案中提供的內容。
- 如果跳過某些行,則失敗訊息將記錄在 SAML單一登入活動日誌中。
地圖用戶單獨
如果您需要單獨設定或編輯使用者的 SSO ID,請搜尋使用者和/或使用 SSO ID 狀態 篩選器,以便更輕鬆地找到使用者。然後,在表格中,雙擊使用者旁邊的 SSO ID 字段,然後輸入正確的 SSO ID。
設定使用者映射後,點選 建立配置 繼續。
SAMLID.csv對應檔案要求
SAMLID.csv對應檔案中的有效資料列遵循以下格式:
samlId,username如果出現下列情況,則該行可能無效:
- 行的項目少於兩個
- 未提供SAMLID和/或使用者名稱
- 提供的使用者名稱不存在
- 提供使用者名稱的使用者不是組織成員
- 提供使用者名稱的使用者,其主要組織與目前正在修改的組織不相同
- 提供的SAMLID已由其他使用者佔用
有效對應檔案的範例如下:
exampleSamlId,exampleUsername exampleSamlId2,exampleUsername2 exampleSamlId3,exampleUsername3
步驟 6:啟動您的 SAML SSO 配置
建立 SAML SSO 配置後,需要明確啟動該配置才能使其生效。
點選配置中的 啟動 。您的配置將顯示為 已啟動。
步驟 7:更新 SAML SSO 驗證選項
Workiva 強烈建議強制使用者使用 SSO 登錄,這是簡化登入流程並提供更好整體體驗的最佳實踐。建立並啟動 SAML SSO 設定後:
- 在 「單一登入 」標籤下的 「強制 SSO 和例外 」部分提供了兩種驗證選項:
-
強制使用者使用 SSO 登入 (建議):非管理者使用者將被強制使用 SSO,而組織安全管理員可以繼續使用其使用者名稱和密碼登入。如果您的公司想要強制使用 SSO,但又希望在 SSO 出現任何問題時允許組織安全管理員存取平台,那麼此選項最為有效。
注意:啟用此選項前
,請 務必進行全面測試,並確保您對 SAML 單一登入 (SSO) 設定完全放心。 - 強制組織安全管理員使用 SSO 登入: 組織安全管理員必須使用 SSO。如果公司安全策略不希望豁免使用者遵守 SSO 要求,則此選項效果最佳。若要啟用此選項,您還需要選取 強制使用者使用 SSO 登入。
-
- 選擇選項後,點選 儲存。
如果需要,您可以透過將特定使用者新增至 SSO 例外清單 中,允許他們無需 SAML SSO 即可登入。
注意:在強制使用 SAML 單一登入之前,請務必將必要的使用者新增至 SSO 例外清單中
,以避免使用者被鎖定在其帳戶之外。
與您的身分提供者設定 SAML 單一登入
您的身分提供者管理員可以參考以下步驟,以了解如何使用常見的身分識別提供者設定 SAML SSO。
支援的功能
- SP發起的SSO
- 由身分提供者發起的單一登入
- 由身分提供者發起的單點註銷 (SLO)
- SSO例外列表
- 可選斷言加密
步驟 1:新增集成
- 登入 Okta 管理門戶,在 應用程式下,選擇 瀏覽應用程式目錄。
- 在用程式整合目錄中,搜尋 Workiva 並加以選取。然後點選 新增整合。
- 根據您的 IT 政策和程序設置一般設定。然後按一下下一步。
步驟 2:將 Okta 元資料輸入 Workiva
在 SAML 2.0 區段,將預設轉送狀態留空。下載元資料 XML 文件,並依照 Workiva 中的步驟 4 上傳至 Workiva:將您的身分提供者元資料輸入到 Workiva。
下載 XML 檔案的一種方法是複製元資料 URL,將其貼上到瀏覽器中,然後將頁面儲存為 XML 檔案。
步驟 3:將 Workiva 元資料輸入 Okta
使用 Workiva步驟 3 中找到的 Workiva URL:將 Workiva 元資料傳送給您的身分提供者管理員:
- 將 Workiva ACS URL 複製並貼上到 Okta ACS URL欄位中。
- 複製 Workiva 受眾 URL 並貼上到 Okta 受眾 URL欄位中。
步驟 4:編輯屬性和聲明
在 Okta 的屬性和聲明中,建議將 Workiva 使用者名稱(不區分大小寫)與 Primary NameID 屬性相匹配,在使用者首次使用 SSO 登入時,讓 Workiva 自動將屬性對應到 Workiva 使用者名稱。但是,這種映射關係取決於您特定的IT策略。
如果這些屬性不匹配,則需要按照 Workiva 中的步驟 5:設定使用者映射 中的說明,手動將屬性對應到相應的使用者名,然後使用者才能使用 SSO 登入。
SP發起的SSO流程
登入程序從您所在組織的 SP URL app.wdesk.com、eu.wdesk.com 或 apac.wdesk.com 發起。
- 在瀏覽器中,造訪 Workiva 登入頁面。
- 輸入您的 Workiva 使用者名稱。
- 點選「使用單一登入」登入。
- 您將被重新導向到您所在組織的登入頁面。
- 請輸入您的憑證,並根據您所在組織的政策通過任何額外的驗證。
- 您將被重定向到 Workiva 並登入其介面。
步驟 1:建立應用程式
- 登入 Azure 管理門戶,然後前往 Microsoft Entra ID > 企業應用程式。
- 按一下新應用程式。
- 搜尋 Workiva 並加以選取。
請注意,如果您計劃實施 SCIM,則需要建立自訂應用程式。 - 命名應用程式,然後按一下建立。
- 應用程式建立完成後,請前往 單一登入 > SAML。
步驟 2:將 Workiva 元資料輸入到 Microsoft Azure 中
- 編輯 基本 SAML 設定。
- 使用 Workiva步驟 3 中找到的 Workiva URL:將 Workiva 元資料傳送給您的身分提供者管理員:
- 將 Workiva 識別碼(實體 ID) 複製並貼上到 Azure 識別碼(實體 ID) 欄位中。
- 複製 Workiva 回應 URL 並將其貼上到 Azure 回應 URL(斷言使用者服務 URL) 欄位中。
- (可選)將 Workiva 登入 URL 複製並貼上到 Azure 登入 URL 欄位中。
- 將轉送狀態欄位留空。
- (可選)將 Workiva 登出 URL 複製並貼上到 Azure 登出 URL 欄位中。
步驟 3:編輯屬性與聲明
配置儲存後,編輯 屬性和聲明。建議將 Workiva 使用者名稱(不區分大小寫)與主 NameID 屬性相匹配,以便 Workiva 在使用者首次使用 SSO 登入時自動將該屬性對應到 Workiva 使用者名稱。但是,這種映射關係取決於您特定的IT策略。
- 如果這些屬性不匹配,則需要按照 Workiva 中的步驟 5:設定使用者映射 中的說明,手動將屬性對應到相應的使用者名,然後使用者才能使用 SSO 登入。
- Workiva 僅查看使用者所需的聲明唯一使用者識別符(主要 NameID 屬性),任何其他聲明將遭到忽略。
步驟 4:將 Microsoft Azure 元資料輸入 Workiva
如果您透過聯合元資料 URL 將 Microsoft Azure 元資料輸入至 Workiva 中,則可以在 Azure SAML SSO 設定中找到聯合元資料 URL。
如果您要透過元資料 XML 檔案將 Microsoft Azure 元資料輸入到 Workiva 中,請在 SAML 憑證 部分中,按一下 聯合元資料 XML旁的 ] 下載 。然後將元資料 XML 檔案上傳到 Workiva。
注意:如果您使用 Microsoft Azure 作為身分識別提供程序,請確保 Workiva登入 URL 欄位(位於「進階選項
」下 )留空 ,否則會出現登入錯誤。如果您想要一個 登出 URL (在進階選項下),但您上傳的 XML 元資料檔案中找不到該值,則需要手動貼上該值。