Đăng nhập SSO/SAML
Trong Valispace, chúng ta có thể đăng nhập bằng Single Sign-On (SSO) sử dụng Security Assertion Markup Language phiên bản 2 (SAML v2). Nếu bạn có nhà cung cấp danh tính (Identity Provider - IdP) tương thích với SAML v2, bạn có thể kết nối nó với phiên bản triển khai Valispace của mình và người dùng có thể đăng nhập bằng các tài khoản hiện có.
Đăng nhập SSO
Thiết lập SSO cho ứng dụng Valispace có một số đặc điểm riêng tùy theo loại triển khai.
01. Cấu hình phía máy chủ:
Sau khi cài đặt SSO được cập nhật, có thể tiến hành cấu hình. Các cài đặt bên dưới không yêu cầu
khởi động lại ứng dụng.
Step 1: Trên hệ thống triển khai, điều hướng đến: https://{your.valispace.deploy}/admin/constance/config/
-
AUTH_SSO_SP_ENTITY_ID
Thay thế mặc định http://127.0.0.1:8000/rest/auth/sso/metadata/ bằng URL của hệ thống triển khai, ví dụ: https://<url/rest/auth/sso/metadata/> -
AUTH_SSO_SP_ACS
Thay URL bằng URL thực tế, ví dụ như https://<url/rest/auth/sso/acs/> -
AUTH_SSO_SP_SLS
Thay URL bằng URL thực tế, ví dụ như https://<url/rest/auth/sso/sls/> -
AUTH_SSO_X509CERT
Có thể để trống vì đây là cài đặt tùy chọn. Trong trường hợp cần các chứng chỉ x509, bạn có thể tìm trợ giúp tại Altium Support để bật tính năng này. -
AUTH_SSO_IDP_XML
Metadata XML của IdP dùng để kết nối hai bên. Phần này sẽ được giải thích thêm bên dưới. -
AUTH_SSO_NAMEID_FORMAT
Các IdP hỗ trợ nhiều định dạng nameId khác nhau. Trong phần ‘Authentication SSO Attributes’ của trang cấu hình, bạn có thể xác định các tên cụ thể mà Identity Provider (IdP) của bạn sử dụng cho nhiều trường khác nhau. Bên dưới, chúng tôi cung cấp một ví dụ về cách bạn có thể đặt tên các thuộc tính này:-
AUTH_SSO_EMAIL_ATTRIBUTE mail
-
AUTH_SSO_USERNAME_ATTRIBUTE uid
-
AUTH_SSO_FIRST_NAME_ATTRIBUTE givenName
-
AUTH_SSO_LAST_NAME_ATTRIBUTE sn
Note: Các tên này phải được IdP của bạn ghi rõ trong tài liệu, nhưng nếu bạn gặp lỗi 500 sau khi cấu hình cả IdP và SP, một công cụ hữu ích để sử dụng là SAML-tracer. Đây là tiện ích bổ sung cho Chrome hoặc Firefox, hiển thị thông tin và tên trường mà IdP của bạn gửi đến Valispace để ánh xạ chính xác.
-
Note for Azure Configuration: Valispace chỉ cố gắng tìm các trường AUTH_SSO_*_ATTRIBUTE trong phần attributes của phản hồi SAML. Nếu bạn quyết định đặt cả email và tên người dùng là ‘nameId’ (email), thì cũng cần chỉ định nó dưới thuộc tính ‘emailAddress’.
Khi Azure được cấu hình để truyền ‘nameId’ theo định dạng ‘emailAddress’, nó sẽ không được gửi đi như một thuộc tính. Tính năng Claim của Azure có một thuộc tính tên là ‘namespace’. ‘namespace’ này nên được để trống (mặc định không trống) hoặc được khớp trong phần cài đặt quản trị của Valispace.
Ví dụ, trong trường hợp của Microsoft Azure, ‘namespace’ trong các claim nên được để trống. Ngoài ra, nó phải tương ứng với cùng thuộc tính trong phần cài đặt quản trị Valispace.
Ban đầu, nếu có thể, hãy đặt phần tử NameIDPolicy trong AuthnRequest của Azure thành ‘persistent’. Sau khi hoàn tất bước này, hãy điều chỉnh cài đặt Valispace tương ứng (AUTH_SSO_NAMEID_FORMAT) để phù hợp với thay đổi đó.
Điều này đảm bảo mỗi người dùng nhận được một mã định danh duy nhất, thiết lập liên kết giữa Azure và Valispace. Phương pháp này được ưu tiên hơn việc thay đổi địa chỉ email.
Tiếp theo, hãy cân nhắc sửa các cài đặt sau trong Valispace để khớp với cấu hình bên dưới:
AUTH_SSO_EMAIL_ATTRIBUTE: Đặt thành ‘emailaddress’
AUTH_SSO_USERNAME_ATTRIBUTE: Đặt thành ‘emailaddress’
Các cài đặt này dựa trên giả định rằng địa chỉ email sẽ được dùng làm ‘username’.
02. Thiết lập & xác thực IdP:
Phần này hoàn toàn phụ thuộc vào IdP cụ thể được sử dụng trong cấu hình. Tài liệu này cung cấp một số liên kết tài liệu phổ biến nhất cho các IdP cụ thể, như sau:
-
Azure AD SAML Azure/active-directory-setup-sso
-
Auth0 Auth0 configure-auth0-saml-identity-provider
-
Keycloak https://www.keycloak.org/docs/latest/server_admin/#_saml
Khi thêm một ứng dụng/cấu hình mới trong IdP của bạn, thông thường hệ thống sẽ yêu cầu thông tin sau về ứng dụng bạn muốn thêm:
-
ENTITY_ID
https://<url/rest/auth/sso/metadata/>
-
ACS (Assertion Consumer Service)
https://<url/rest/auth/sso/acs/>
-
SLS (Single Logout Service)
https://<url/rest/auth/sso/sls/>
Nó cũng có thể cho phép cấu hình các trường người dùng được gửi đến ứng dụng đã cấu hình và tên của chúng; sau đó các trường này có thể được thêm trong phần Authentication SSO Attributes của cấu hình quản trị, như đã nêu ở phần trước.
Bây giờ IdP đã được cấu hình, chúng ta cần liên kết SP với IdP. Để làm điều đó, chúng ta cần lấy một tệp định dạng XML chứa thông tin kết nối của IdP. Việc này khác nhau giữa các IdP, nhưng có hai cách để lấy được.
-
Có sẵn trực tiếp dưới dạng XML từ IdP
-
IdP hiển thị thông tin kết nối nhưng không ở định dạng XML. Trong trường hợp này, bạn nên truy cập https://www.samltool.com/idp_metadata.php, công cụ này sẽ tự động tạo metadata từ thông tin được cung cấp.
Sau khi có tệp XML, hãy sao chép toàn bộ nội dung của tệp và dán vào trường: AUTH_SSO_IDP_XML đã được giới thiệu ở các bước trước.
Sau mỗi bước hoàn tất, một nút đăng nhập SSO sẽ hiển thị trên trang đăng nhập của Valispace để chuyển hướng đến màn hình đăng nhập IdP mới nhất đã được cấu hình và cho phép đăng nhập.
Note: Trong trường hợp tổ chức của bạn vẫn còn người dùng đã đăng ký trong ứng dụng Valispace, các tài khoản này sẽ được đối chiếu với các giá trị trong trường email trên IdP để tự động liên kết khi trùng khớp.
The SSO Configuration for Valispace is done.
Chỉ đăng nhập bằng SSO
Sau khi Single Sign-On (SSO) được bật, người dùng có thể đăng nhập vào hệ thống triển khai bằng SSO hoặc bằng tên người dùng và mật khẩu. Nếu bạn muốn hạn chế người dùng đăng nhập bằng tên người dùng và mật khẩu, bạn có thể thực hiện việc này bằng cách bật/tắt một "Flag" trong bảng quản trị. Flag này sẽ ẩn tùy chọn "Username and Password" trên trang đăng nhập. Để kích hoạt tính năng này, quản trị viên phải đăng nhập vào bảng quản trị, điều hướng đến "Constants", sau đó đến "Config". Từ đó, quản trị viên có thể bỏ chọn tùy chọn "AUTH_USERNAME_PASSWORD.”
Xem bản demo này để biết cách thực hiện nhanh chóng và dễ dàng.
Bản địa hóa bằng AI