Cấu hình xác thực đăng nhập

Tích hợp SCIM Provisioning với Okta làm IdP

Thêm tích hợp SCIM (System for Cross-domain Identity Management):

1. Trong Okta Admin Console chọn tab General, và đặt SCIM làm phương thức provisioning.

   

2. Chọn tab Provisioning và nhấp vào nút Edit.

   

3. Trong chế độ chỉnh sửa cài đặt, chọn tất cả các hành động provisioning (các tùy chọn Import.. và Push..), và chọn HTTP Header làm chế độ Authentication.

   

4. Sao chép () mục Base URL từ phần Provisioning của trang Company Dashboard Authentication và dán vào trường SCIM Connector base URL của Okta.

   Sao chép () mục API Token từ phần Provisioning của trang Company Dashboard Authentication và dán vào trường Authorization của Okta (trong HTTP HEADER).

   

5. Chỉ định userName làm Unique identifier field for users của Okta.

   

6. Nhấp vào nút Test Connector Configuration (xem bên trên) và đảm bảo kết nối hoạt động. Nếu kiểm tra cấu hình thành công, đóng cửa sổ Test rồi lưu cấu hình ().

   

7. Chọn To App trong cây điều hướng bên trái, rồi chọn tùy chọn Edit.

   Bật các tùy chọn Create Users, Update User Attributes và Deactivate Users, sau đó nhấp vào Save.

   

Provisioning và hủy provisioning người dùng, nhóm:

1. Chọn tab Push Groups rồi nhấp vào nút Refresh App Groups.

   

2. Chọn tùy chọn trang Directory » Groups từ menu chính.

   

   Trong Groups, bạn sẽ thấy cả nhóm ứng dụng Groups và Workspaces dưới dạng các mục nhóm.

   

3. Tạo các nhóm Okta 'native' có cùng tên với (các) nhóm ứng dụng/(các) workspace – trong ví dụ này là các nhóm Administrators và Workspace đã được nhập.

   

4. Chọn một nhóm Okta đã tạo rồi nhấp vào nút Manage Apps. Trong cửa sổ Assign Applications to <group name>, gán Ứng dụng SCIM cho nhóm và nhấp vào khi hoàn tất.

   

5. Quay lại trang Groups và chọn tab Push Groups. Chọn Find groups by name option từ menu nút Push Groups.

   

6. Nhập tên nhóm (ở đây là Group Administrators) rồi chọn tùy chọn Link Group để liên kết nhóm đó với nhóm ứng dụng. Lưu cấu hình liên kết đó ().

   

Quản lý Người dùng và Nhóm

Bây giờ bạn sẽ có thể thêm thành viên vào, hoặc xóa thành viên khỏi, các nhóm ứng dụng hiện có.

1. Tạo người dùng Okta mới (Directory » People, rồi chọn Add Person). Đảm bảo người dùng có địa chỉ email duy nhất, chưa tồn tại trong AltiumLive.

2. Thêm người dùng mới vào một Nhóm Okta đã được gán cho ứng dụng SCIM (Directory » Groups, chọn một nhóm, rồi dùng Assign People).

3. Kiểm tra để chắc chắn người dùng xuất hiện trong Company Dashboard.

Để tạo một nhóm người dùng mới thông qua ứng dụng SCIM, hãy tạo một nhóm Okta mới trong trang Groups (), sau đó trong tab Push Groups, tìm tên nhóm mới và chọn tùy chọn Create Group (thay vì 'Link Group').

Ứng dụng SCIM đã cấu hình sẽ cho phép bạn:

• Thay đổi tên / họ và email của Người dùng.

• Thay đổi thành viên của Nhóm.

• Thay đổi tên Nhóm.

• Tạo một nhóm.

• Xóa một nhóm – hủy liên kết nhóm trong Push Groups với tùy chọn xóa khỏi ứng dụng.

• Kích hoạt hoặc vô hiệu hóa người dùng – người dùng được kích hoạt sẽ nhận được email kích hoạt.

Workspace trông tương tự như Nhóm người dùng trong Okta, nhưng chỉ hỗ trợ quản lý thành viên. Bạn không thể tạo workspace mới hoặc đổi tên workspace hiện có.

Sau khi thêm hoặc xóa người dùng khỏi một nhóm Workspace, bạn có thể kiểm tra kết quả thông qua giao diện Workspace của Altium 365.

• Người dùng SCIM mới phải có thể đăng nhập bằng SSO

• Người dùng SCIM mới phải tự động được mời vào Workspace.

• Một email mời sẽ không được gửi cho người dùng.

Tích hợp với Microsoft Entra ID

Ứng dụng SAML:

1. Đăng nhập vào Microsoft Entra admin center.

2. Chọn Identity rồi chọn tùy chọn Enterprise applications.

   

3. Tạo ứng dụng của riêng bạn.

   

4. Chọn Users and groups rồi chọn Add user/group.

   

   

   

    

5. Chọn Single sign-on, Step 1, rồi chọn Edit.

   

   

    

6. Sao chép () các mục Entity ID và Single Sign On URL từ phần Altium Sign-On Settings của trang Authentication trong Company Dashboard. Dán các chuỗi đã sao chép vào các trường Entity ID và Assertion Consumer Service URL trong khu vực cấu hình SAML của ứng dụng Microsoft Entra. Đảm bảo các ô Default được chọn cho các trường này, sau đó lưu cấu hình.

   

7. Tải xuống Federation Metadata XML đã tạo.

   

8. Tải Federation Metadata XML lên trang Authentication của Company Dashboard (vùng 2. SAML Identity Provider configuration của phần Altium Sign-On Settings) rồi kiểm tra kết nối tích hợp SAML.

Cấp phát:

1. Trong màn hình quản lý ứng dụng Microsoft Entra, chọn Provisioning ở bảng bên trái rồi chọn nút Get started.

2. Đặt Provision MODE thành Automatic.

3. Sao chép () các mục Base URL và API Token từ phần Provisioning của trang Authentication trong Company Dashboard rồi dán chúng lần lượt vào các trường Tenant URL và Secret Token.

   

4. Nhấp nút Test Connection trong Provisioning của Microsoft Entra, và nếu thông tin xác thực được ủy quyền thành công, hãy Save cấu hình.

   

5. Trong phần Mappings, có hai bộ ánh xạ thuộc tính có thể chọn – một cho đối tượng Nhóm và một cho đối tượng Người dùng.

   

6. Chọn từng ánh xạ để xem lại các thuộc tính được đồng bộ từ Microsoft Entra ID sang ứng dụng của bạn. Các thuộc tính được chọn làm Matching properties sẽ được dùng để đối sánh người dùng và nhóm trong ứng dụng của bạn cho các thao tác cập nhật. Chọn Save để áp dụng mọi thay đổi.

   

   Bạn có thể tùy chọn tắt đồng bộ các đối tượng nhóm bằng cách vô hiệu hóa ánh xạ Groups.

7. Trong mục Settings, trường Scope xác định những người dùng và nhóm nào được đồng bộ. Chọn Sync only assigned users and groups (khuyến nghị) để chỉ đồng bộ những người dùng và nhóm đã được gán trong trang Users and groups.

   

8. Khi cấu hình hoàn tất, đặt Provisioning Status thành On.

   

9. Chọn Save để khởi động dịch vụ cấp phát Microsoft Entra.

Tích hợp với JumpCloud với vai trò là Nhà cung cấp danh tính

1. Trong giao diện JumpCloud, chọn SSO từ cây điều hướng, rồi chọn nút Add New Application trên trang SSO.

   

2. Nhập 'saml' vào ô Search của cửa sổ cấu hình để tìm rồi cài đặt Custom SAML App.

   

3. Đặt tên cho phiên bản Custom SAML App của bạn – trong ví dụ này, nhãn là 'Altium'.

   

4. Chuyển sang tab SSO trong giao diện cấu hình JumpCloud. Sao chép () các mục Entity ID và Single Sign On URL từ phần Altium Sign-On Settings của trang Authentication trong Company Dashboard và dán chúng lần lượt vào các trường SP Entity ID và Default URL.

   

5. Nhập endpoint JumpCloud IDP URL và bật tùy chọn Declare Redirect Endpoint.

   

6. Chuyển sang tab Identity Management trong giao diện JumpCloud. Sao chép () các mục Base URL và API Token từ phần Provisioning của trang Authentication trong Company Dashboard và dán chúng lần lượt vào các trường Base URL và Token Key. Đồng thời nhập một địa chỉ email thử nghiệm phù hợp.

   

7. Thực hiện Test Connection, thao tác này sẽ hiển thị thông báo xác nhận ở góc trên bên phải của trang (như minh họa bên dưới).

   

8. Tắt (bỏ chọn) tùy chọn Group Management rồi Activate cấu hình.

   

   Lưu ý: Nếu bạn nhận được lỗi kết nối như 'There was a problem activating Identity Management' ở đầu trang hoặc 'Test filter user: unable to get or create user from service' ở cuối trang, hãy thử nhập một địa chỉ email thử nghiệm khác rồi chọn Activate lại.

9. Quay lại tab SSO trong giao diện JumpCloud, dùng tùy chọn Export Metadata để tải xuống tệp XML siêu dữ liệu SAML thu được.

   

10. Trong trang Authentication của Company Dashboard, nhập tệp XML siêu dữ liệu đã tải xuống rồi gọi kiểm tra Tích hợp bằng nút Test Sign On. Kết quả kiểm tra tích hợp thành công sau đó sẽ được hiển thị. Sau khi xác nhận kết nối, bạn có thể bật tùy chọn Altium Sign-On Settings rồi tùy chọn SSO trong phần Authentication methods.

Xác thực SAML SSO với Microsoft Administrative Domain Federated Services (AD FS)

Thực hiện các bước dưới đây để thiết lập đăng nhập tổ chức Altium 365 của bạn sử dụng phiên bản AD FS cho xác thực SSO.

Điều kiện tiên quyết

• Quyền truy cập quản trị vào Company Account của tổ chức trong Altium 365.

• Quyền truy cập quản trị vào phiên bản AD FS.

Thiết lập AD FS

1. Mở ứng dụng AD FS Management (thường là Start → Windows Administrative Tools → AD FS Management).

2. Đi tới Relying Party Trusts và nhấp tùy chọn Add Relying Party Trust... (1).

3. Trong cửa sổ bật lên, hãy đảm bảo chọn Claims aware (2) rồi nhấp Start (3).

   

4. Trong bước Select Data Source, chọn Enter data about the relying party manually (1) rồi nhấp Next (2).

   

5. Cung cấp tên hiển thị cho mối quan hệ tin cậy. Ví dụ này sử dụng AltiumLive làm tên hiển thị.

   

6. Tùy thuộc vào cấu hình bảo mật của bạn, bạn có thể chỉ định chứng chỉ mã hóa token tùy chọn. Trong hướng dẫn này, chúng ta sẽ không sử dụng.

   

7. Trong bước Configure URL, hãy đảm bảo chọn tùy chọn Enable support for the SAML 2.0 WebSSO protocol (1) và nhập https://identity.live.altium.com/AssertionConsumerService vào trường Relying party SAML 2.0 SSO service URL: (2). Nhấp Next (3).

   

8. Trong bước Configure Identifiers, cung cấp một định danh cho mối quan hệ tin cậy này vào trường nhập (1). Định danh phải được lấy từ mục Entity ID nằm trong vùng SAML Single Sign-On của trang Dashboard Authentication. Hãy chắc chắn nhấp nút Add (2).

   

   Kết quả sẽ trông như sau. Nhấp Next.

   

9. Tùy thuộc vào cấu hình bảo mật của bạn, bạn có thể chọn các chính sách kiểm soát truy cập tùy chọn ở bước tiếp theo. Trong ví dụ này, chúng ta sẽ không chọn chính sách bổ sung nào và tiếp tục với tùy chọn Permit everyone.

   

10. Xem lại cấu hình và chọn Next.

    

11. Không phải mọi cài đặt đều khả dụng trong khi thiết lập mối quan hệ tin cậy. Để cho phép SHA-1 được sử dụng làm thuật toán băm an toàn, hãy nhấp chuột phải vào tên của Relying Party Trust mà bạn vừa thêm và chọn Properties.

    

12. Trong cửa sổ thuộc tính, chọn tab Advanced (1) và đặt SHA-1 làm thuật toán băm an toàn (2). Nhấp OK để lưu thay đổi.

    

13. Quay lại cửa sổ AD FS Management, chọn Relaying Party Trust mà bạn đã thêm và chọn tùy chọn Edic Claim Issuance Policy...

    

14. Trong cửa sổ Edit Claim Issuance Policy, chọn Add Rule...

    

15. Trong bước Choose Rule Type của trình hướng dẫn, hãy đảm bảo rằng Send LDAP Attributes as Claims được chọn, rồi nhấp Next.

    

16. Cung cấp một Claim rule name (1), chọn Active Directory làm Attribute store (2), và chọn một LDAP Attribute (3) từ ID có chứa tên người dùng cho Altium Account. Thuộc tính này phải được ánh xạ tới Name ID trong Outgoing Claim Type (3). Nhấp vào Finish (4).

    

    Important Note: Trong ví dụ này, chúng tôi đã ánh xạ Surname hoặc Last name để chứa giá trị bắt buộc. Cấu hình của bạn có thể khác.

    

17. Đảm bảo chính sách phát hành claim đã được lưu bằng cách nhấp vào OK.

    

Phần này hoàn tất việc thiết lập AD FS.

Thiết lập Altium 365

1. Truy cập trang Authentication Company Dashboard và tải lên tệp FederationMetadata.xml mà bạn đã tải xuống trước đó (xem phần Dashboard SSO Configuration bên dưới để biết thêm thông tin). Cấu hình sẽ được nhập và các giá trị của X509 Certificate, Identity Provider Issuer và IdP Single Sign-On URL sẽ hiển thị. Nhấp vào nút Test Sign On để kiểm tra thiết lập.

2. Trong màn hình đăng nhập, nhập thông tin xác thực người dùng theo yêu cầu của tổ chức bạn và nhấp vào Sign in.

   

3. Assertion sẽ được gửi trở lại Altium 365. Nếu màn hình hiển thị thông báo Test SAML connection was successful! thì cấu hình đã được hoàn tất chính xác. Bạn có thể xem phản hồi SAML bằng cách nhấp vào nút See Response . Nhấp vào Back to Settings để quay lại trang Authentication.

4. Trên trang Authentication, bật các tùy chọn Altium Sign-On Settings và SSO .

Phần này hoàn tất việc thiết lập. Từ thời điểm này, người dùng trong tổ chức của bạn sẽ có thể đăng nhập vào Altium 365 bằng AD FS của tổ chức bạn với vai trò là SSO IdP.

Cấu hình SSO SAML với Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Đi tới IAM Identity Center và thêm một Ứng dụng SAML 2.0 tùy chỉnh (Add Application).

   

   

2.  Sao chép () các mục Entity ID và Single Sign On URL từ phần Altium Sign-On Settings của trang Company Dashboard Authentication và dán chúng vào cài đặt URL metadata của AWS. Xác nhận cài đặt bằng Submit.

   

3. Tải xuống tệp metadata từ khu vực IAM Identity Center metadata.

   

4. Đi tới Edit attribute mappings.

   

5. Thêm ${user:email} và Format làm unspecified.

   

6. Tạo người dùng mới trong AWS – tên của người dùng phải theo định dạng user@domain.com.

   Gán ứng dụng cho những người dùng đã tạo hoặc cho một nhóm.

   

7. Tùy chọn Provisioning trên trang Company Dashboard Authentication phải được tắt.

   Hiện tại, AWS không hỗ trợ provisioning outbound tự động thông qua SCIM.

8. Đảm bảo rằng cùng một người dùng tồn tại ở cả phía Altium và IAM. Người dùng nên được đặt tên theo định dạng user@domain.com.

   

9. Trên trang Company Dashboard Authentication, tải lên tệp XML mà bạn đã tải xuống trước đó (xem phần Dashboard SSO Configuration bên dưới để biết thêm thông tin). Nhấp vào nút Test Sign On để kiểm tra thiết lập.

10. Sau đó bạn sẽ được chuyển hướng đến trang đăng nhập AWS. Nhập thông tin xác thực người dùng AWS của bạn. Bạn sẽ được chuyển hướng trở lại Dashboard và thấy thông báo Test SAML connection was successful! .

11. Sau khi kiểm tra thành công, bật các tùy chọn Altium Sign-On Settings và SSO .