Cấu hình xác thực đăng nhập

Tích hợp cấp phát SCIM với Okta làm IdP

Thêm tích hợp SCIM (System for Cross-domain Identity Management):

1. Trong Okta Admin Console, chọn tab General, rồi đặt SCIM làm phương thức cấp phát.

   

2. Chọn tab Provisioning và nhấp nút Edit.

   

3. Trong chế độ chỉnh sửa cài đặt, chọn tất cả các tác vụ cấp phát (tùy chọn Import.. và Push..), và đặt HTTP Header làm chế độ Authentication.

   

4. Sao chép () mục Base URL từ phần Provisioning của trang Company Dashboard Authentication rồi dán vào trường SCIM Connector base URL của Okta.

   Sao chép () mục API Token từ phần Provisioning của trang Company Dashboard Authentication rồi dán vào trường Authorization của Okta (bên dưới HTTP HEADER).

   

5. Chỉ định userName làm Unique identifier field for users của Okta.

   

6. Nhấp nút Test Connector Configuration (xem ở trên) và đảm bảo kết nối hoạt động bình thường. Nếu kiểm tra cấu hình thành công, hãy đóng cửa sổ Test rồi lưu cấu hình ().

   

7. Chọn To App trong cây điều hướng bên trái, rồi chọn tùy chọn Edit.

   Bật các tùy chọn Create Users, Update User Attributes và Deactivate Users, rồi nhấp Save.

   

Cấp phát và hủy cấp phát người dùng, nhóm:

1. Chọn tab Push Groups rồi nhấp nút Refresh App Groups.

   

2. Chọn tùy chọn trang Directory » Groups từ menu chính.

   

   Trong Groups, bạn sẽ thấy cả Groups của ứng dụng và Workspaces là các mục nhóm.

   

3. Tạo các nhóm Okta 'gốc' có cùng tên với (các) nhóm ứng dụng/(các) workspace – trong ví dụ này là các nhóm Administrators và Workspace đã được nhập.

   

4. Chọn một nhóm Okta đã tạo rồi nhấp nút Manage Apps. Trong cửa sổ Assign Applications to <group name>, gán Ứng dụng SCIM cho nhóm và nhấp khi hoàn tất.

   

5. Quay lại trang Groups và chọn tab Push Groups. Chọn Find groups by name option từ menu nút Push Groups.

   

6. Nhập tên nhóm (ở đây là Group Administrators) rồi chọn tùy chọn Link Group để liên kết nhóm đó với nhóm ứng dụng. Lưu cấu hình liên kết đó ().

   

Quản lý Người dùng và Nhóm

Bây giờ bạn có thể thêm thành viên vào hoặc xóa thành viên khỏi các nhóm ứng dụng hiện có.

1. Tạo người dùng Okta mới (Directory » People, rồi chọn Add Person). Đảm bảo rằng người dùng có địa chỉ email duy nhất, chưa tồn tại trong AltiumLive.

2. Thêm người dùng mới vào một Nhóm Okta được gán cho ứng dụng SCIM (Directory » Groups, chọn một nhóm, rồi dùng Assign People).

3. Kiểm tra để chắc chắn rằng người dùng xuất hiện trong Company Dashboard.

Để tạo một nhóm người dùng mới thông qua ứng dụng SCIM, hãy tạo một nhóm Okta mới trong trang Groups (), sau đó trong tab Push Groups, tìm tên nhóm mới và chọn tùy chọn Create Group (thay vì 'Link Group').

Ứng dụng SCIM đã cấu hình sẽ cho phép bạn:

• Thay đổi tên / họ và email của Người dùng.

• Thay đổi thành viên của một Nhóm.

• Đổi tên một Nhóm.

• Tạo một nhóm.

• Xóa một nhóm – hủy liên kết nhóm trong Push Groups bằng tùy chọn delete from app.

• Kích hoạt hoặc vô hiệu hóa một người dùng – người dùng được kích hoạt sẽ nhận được email kích hoạt.

Workspace trông tương tự như các Nhóm người dùng trong Okta, nhưng chỉ hỗ trợ quản lý thành viên. Bạn không thể tạo workspace mới hoặc đổi tên workspace hiện có.

Sau khi thêm hoặc xóa người dùng khỏi một nhóm Workspace, bạn có thể kiểm tra kết quả thông qua giao diện Workspace của Altium 365.

• Người dùng SCIM mới phải có thể đăng nhập bằng SSO

• Người dùng SCIM mới phải tự động được mời vào Workspace.

• Email mời sẽ không được gửi cho người dùng.

Tích hợp với Ứng dụng SAML của Microsoft Entra ID

:

1. Đăng nhập vào Microsoft Entra admin center.

2. Chọn Identity rồi chọn tùy chọn Enterprise applications.

   

3. Tạo ứng dụng của riêng bạn.

   

4. Chọn Users and groups rồi chọn Add user/group.

   

   

   

    

5. Chọn Single sign-on, Step 1, rồi chọn Edit.

   

   

    

6. Sao chép () các mục Entity ID và Single Sign On URL từ phần Altium Sign-On Settings của trang Authentication trong Company Dashboard. Dán các chuỗi đã sao chép vào các trường Entity ID và Assertion Consumer Service URL trong khu vực SAML Configuration của ứng dụng Microsoft Entra. Đảm bảo các ô Default được chọn cho các trường này, rồi lưu cấu hình.

   

7. Tải xuống Federation Metadata XML đã tạo.

   

8. Tải Federation Metadata XML lên trang Authentication của Company Dashboard (vùng 2. SAML Identity Provider configuration của phần Altium Sign-On Settings) rồi kiểm tra kết nối tích hợp SAML.

Cấp phát:

1. Trong màn hình quản lý ứng dụng Microsoft Entra, chọn Provisioning ở khung bên trái rồi nhấn nút Get started.

2. Đặt Provision MODE thành Automatic.

3. Sao chép () các mục Base URL và API Token từ phần Provisioning của trang Authentication trong Company Dashboard rồi dán lần lượt vào các trường Tenant URL và Secret Token.

   

4. Nhấp vào nút Test Connection của Microsoft Entra Provisioning, và nếu thông tin xác thực được ủy quyền thành công, hãy Save cấu hình.

   

5. Trong phần Mappings, có hai bộ ánh xạ thuộc tính có thể chọn – một cho đối tượng Group và một cho đối tượng User.

   

6. Chọn từng ánh xạ để xem lại các thuộc tính được đồng bộ từ Microsoft Entra ID sang ứng dụng của bạn. Các thuộc tính được chọn làm Matching properties được dùng để đối sánh người dùng và nhóm trong ứng dụng của bạn cho các thao tác cập nhật. Chọn Save để xác nhận mọi thay đổi.

   

   Bạn cũng có thể tắt đồng bộ các đối tượng nhóm bằng cách vô hiệu hóa ánh xạ Groups.

7. Trong Settings, trường Scope xác định những người dùng và nhóm nào sẽ được đồng bộ. Chọn Sync only assigned users and groups (khuyến nghị) để chỉ đồng bộ những người dùng và nhóm được gán trong trang Users and groups.

   

8. Sau khi hoàn tất cấu hình, đặt Provisioning Status thành On.

   

9. Chọn Save để khởi động dịch vụ cấp phát Microsoft Entra.

Tích hợp với JumpCloud với vai trò là Nhà cung cấp danh tính

1. Trong giao diện JumpCloud, chọn SSO từ cây điều hướng, rồi nhấn nút Add New Application trên trang SSO.

   

2. Nhập 'saml' vào ô Search trong cửa sổ cấu hình để tìm rồi cài đặt Custom SAML App.

   

3. Đặt tên cho phiên bản Custom SAML App của bạn – trong ví dụ này, nhãn là 'Altium'.

   

4. Chuyển sang tab SSO trong giao diện cấu hình JumpCloud. Sao chép () các mục Entity ID và Single Sign On URL từ phần Altium Sign-On Settings của trang Authentication trong Company Dashboard rồi dán lần lượt vào các trường SP Entity ID và Default URL.

   

5. Nhập endpoint JumpCloud IDP URL và bật tùy chọn Declare Redirect Endpoint.

   

6. Chuyển sang tab Identity Management trong giao diện JumpCloud. Sao chép () các mục Base URL và API Token từ phần Provisioning của trang Authentication trong Company Dashboard rồi dán lần lượt vào các trường Base URL và Token Key. Đồng thời nhập một địa chỉ email thử nghiệm phù hợp.

   

7. Thực hiện Test Connection, thao tác này sẽ hiển thị thông báo xác nhận ở góc trên bên phải của trang (như minh họa bên dưới).

   

8. Tắt (bỏ chọn) tùy chọn Group Management rồi Activate cấu hình.

   

   Lưu ý: Nếu bạn nhận được lỗi kết nối như 'There was a problem activating Identity Management' ở đầu trang hoặc 'Test filter user: unable to get or create user from service' ở cuối trang, hãy thử nhập một địa chỉ email thử nghiệm khác rồi chọn Activate lần nữa.

9. Quay lại tab SSO trong giao diện JumpCloud, dùng tùy chọn Export Metadata để tải xuống tệp XML siêu dữ liệu SAML tạo ra.

   

10. Trong trang Authentication của Company Dashboard, nhập tệp XML siêu dữ liệu đã tải xuống rồi gọi kiểm tra Tích hợp bằng nút Test Sign On. Kết quả kiểm tra tích hợp thành công sau đó sẽ được hiển thị. Sau khi xác nhận kết nối, bạn có thể bật tùy chọn Altium Sign-On Settings rồi tùy chọn SSO trong phần Authentication methods.

Xác thực SSO SAML với Microsoft Administrative Domain Federated Services (AD FS)

Thực hiện các bước dưới đây để thiết lập đăng nhập tổ chức Altium 365 của bạn sử dụng phiên bản AD FS cho xác thực SSO.

Điều kiện tiên quyết

• Quyền quản trị đối với Company Account của tổ chức trong Altium 365.

• Quyền quản trị đối với phiên bản AD FS.

Thiết lập AD FS

1. Mở ứng dụng AD FS Management (thường là Start → Windows Administrative Tools → AD FS Management).

2. Điều hướng đến Relying Party Trusts và nhấp vào tùy chọn Add Relying Party Trust... (1).

3. Trong cửa sổ bật lên, hãy chắc chắn chọn Claims aware (2) rồi nhấp Start (3).

   

4. Trong bước Select Data Source, chọn Enter data about the relying party manually (1) rồi nhấp Next (2).

   

5. Cung cấp tên hiển thị cho trust. Ví dụ này dùng AltiumLive làm tên hiển thị.

   

6. Tùy thuộc vào cấu hình bảo mật của bạn, bạn có thể chỉ định chứng chỉ mã hóa token tùy chọn. Trong hướng dẫn này chúng ta sẽ không sử dụng.

   

7. Ở bước Configure URL, hãy chắc chắn chọn tùy chọn Enable support for the SAML 2.0 WebSSO protocol (1) và nhập https://identity.live.altium.com/AssertionConsumerService vào trường Relying party SAML 2.0 SSO service URL: (2). Nhấp Next (3).

   

8. Ở bước Configure Identifiers, cung cấp một định danh cho trust này vào trường nhập liệu (1). Định danh phải được lấy từ mục Entity ID nằm trong vùng SAML Single Sign-On của trang Dashboard Authentication. Hãy nhớ nhấp nút Add (2).

   

   Kết quả sẽ trông như sau. Nhấp Next.

   

9. Tùy thuộc vào cấu hình bảo mật của bạn, ở bước tiếp theo bạn có thể chọn các chính sách kiểm soát truy cập tùy chọn. Trong ví dụ này, chúng ta sẽ không chọn chính sách bổ sung nào và tiếp tục với tùy chọn Permit everyone.

   

10. Xem lại cấu hình và chọn Next.

    

11. Không phải mọi thiết lập đều khả dụng trong khi thiết lập trust. Để cho phép SHA-1 được dùng làm thuật toán băm bảo mật, hãy nhấp chuột phải vào tên của Relying Party Trust mà bạn vừa thêm và chọn Properties.

    

12. Trong cửa sổ thuộc tính, chọn tab Advanced (1) và đặt SHA-1 làm thuật toán băm bảo mật (2). Nhấp OK để lưu thay đổi.

    

13. Quay lại cửa sổ AD FS Management, chọn Relaying Party Trust mà bạn đã thêm và chọn tùy chọn Edic Claim Issuance Policy...

    

14. Trong cửa sổ Edit Claim Issuance Policy, chọn Add Rule...

    

15. Trong bước Choose Rule Type của trình hướng dẫn, hãy chắc chắn rằng Send LDAP Attributes as Claims được chọn, rồi nhấp Next.

    

16. Cung cấp một Claim rule name (1), chọn Active Directory làm Attribute store (2), và chọn một LDAP Attribute (3) từ ID có chứa tên người dùng cho Altium Account. Thuộc tính này phải được ánh xạ tới Name ID trong Outgoing Claim Type (3). Nhấp vào Finish (4).

    

    Important Note: Trong ví dụ này, chúng tôi đã ánh xạ Surname hoặc Last name để chứa giá trị cần thiết. Cấu hình của bạn có thể khác.

    

17. Đảm bảo chính sách phát hành claim được lưu bằng cách nhấp vào OK.

    

Như vậy là hoàn tất thiết lập AD FS.

Thiết lập Altium 365

1. Truy cập trang Authentication của Company Dashboard và tải lên tệp FederationMetadata.xml mà bạn đã tải xuống trước đó (xem phần Dashboard SSO Configuration bên dưới để biết thêm thông tin). Cấu hình sẽ được nhập và các giá trị của X509 Certificate, Identity Provider Issuer và IdP Single Sign-On URL sẽ hiển thị. Nhấp vào nút Test Sign On để kiểm tra thiết lập.

2. Trên màn hình đăng nhập, nhập thông tin xác thực người dùng theo yêu cầu của tổ chức bạn và nhấp vào Sign in.

   

3. Assertion sẽ được gửi lại tới Altium 365. Nếu màn hình hiển thị thông báo Test SAML connection was successful!, thì cấu hình đã được hoàn tất chính xác. Bạn có thể xem phản hồi SAML bằng cách nhấp vào nút See Response . Nhấp vào Back to Settings để quay lại trang Authentication.

4. Trên trang Authentication, bật các tùy chọn Altium Sign-On Settings và SSO .

Như vậy là hoàn tất thiết lập. Từ thời điểm này, người dùng trong tổ chức của bạn sẽ có thể đăng nhập vào Altium 365 bằng AD FS của tổ chức bạn với vai trò SSO IdP.

Cấu hình SSO SAML với Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Đi tới IAM Identity Center và thêm một Ứng dụng SAML 2.0 Tùy chỉnh (Add Application).

   

   

2.  Sao chép () các mục Entity ID và Single Sign On URL từ phần Altium Sign-On Settings trên trang Company Dashboard Authentication và dán chúng vào thiết lập URL metadata của AWS. Xác nhận các thiết lập bằng Submit.

   

3. Tải xuống tệp metadata từ khu vực IAM Identity Center metadata.

   

4. Đi tới Edit attribute mappings.

   

5. Thêm ${user:email} và Format làm unspecified.

   

6. Tạo người dùng mới trong AWS – tên người dùng phải theo định dạng user@domain.com.

   Gán ứng dụng cho những người dùng đã tạo hoặc cho một nhóm.

   

7. Tùy chọn Provisioning trên trang Company Dashboard Authentication phải được tắt.

   Hiện tại, AWS chưa hỗ trợ tự động provisioning outbound qua SCIM.

8. Đảm bảo rằng cùng một người dùng tồn tại ở cả phía Altium và IAM. Người dùng phải được đặt tên theo định dạng user@domain.com.

   

9. Trên trang Company Dashboard Authentication, tải lên tệp XML mà bạn đã tải xuống trước đó (xem phần Dashboard SSO Configuration bên dưới để biết thêm thông tin). Nhấp vào nút Test Sign On để kiểm tra thiết lập.

10. Sau đó, bạn sẽ được chuyển hướng đến trang đăng nhập AWS. Nhập thông tin xác thực người dùng AWS của bạn. Bạn sẽ được chuyển hướng trở lại Dashboard và thấy thông báo Test SAML connection was successful! .

11. Sau khi kiểm tra thành công, bật các tùy chọn Altium Sign-On Settings và SSO .