Workplace for Good
เราให้องค์กรการกุศลที่ไม่แสวงผลกำไรที่มีคุณสมบัติเข้าเกณฑ์สามารถใช้งาน Workplace Advanced ได้ฟรี

การยืนยันตัวตน

เรียนรู้เกี่ยวกับตัวเลือกในการอนุญาตให้ผู้ใช้เข้าถึง Workplace

เนื้อหา

ภาพรวม

ภาพรวม

การลงชื่อเข้าใช้แบบครั้งเดียว (SSO) จะช่วยให้ผู้ใช้สามารถเข้าถึง Workplace ผ่านทางผู้ให้บริการข้อมูลระบุตัวตน (IdP) ที่คุณควบคุม ซึ่งจะเป็นประโยชน์ต่อคุณและทีมของคุณ:

  • ปลอดภัยยิ่งขึ้น: มีเลเยอร์การรักษาความปลอดภัยและการกำกับดูแลเพิ่มขึ้น (ไม่มีการจัดเก็บข้อมูลประจำตัวไว้ภายนอกระบบที่บริษัทของคุณควบคุม หรือการส่งข้อมูลดังกล่าวผ่านเครือข่าย)
  • ใช้งานง่ายสำหรับผู้ใช้ปลายทาง: ลงชื่อเข้าใช้ Workplace ด้วยข้อมูลประจำตัว SSO เดิมเช่นเดียวกับระบบอื่น (เช่น แล็ปท็อปหรือแอพพลิเคชั่นภายใน) ดังนั้นผู้ใช้ของคุณจึงสามารถเข้าถึง Workplace โดยไม่ต้องจำรหัสผ่านอื่นอีก

Workplace ได้รับการรองรับโดยตรงจากผู้ให้บริการข้อมูลระบุตัวตนหลายราย รวมทั้ง Azure AD, G Suite, Okta, OneLogin, Ping Identity ซึ่งช่วยให้สามารถเชื่อมต่อโดยตรงเพื่อให้การตั้งค่าทำได้ง่ายยิ่งขึ้น

?
Workplace รองรับ SAML (Security Assertion Markup Language) 2.0 สำหรับ SSO สิ่งนี้เป็นมาตรฐานอุตสาหกรรม ดังนั้นจึงกลายเป็นความสามารถในการทำงานร่วมกับผู้ให้บริการข้อมูลระบุตัวตนที่สนับสนุน SAML 2.0 ได้อย่างง่ายดาย หรือแม้ว่าจะไม่ได้อยู่ในลิสต์ในหน้านี้ หรือคุณจะปรับใช้ SSO ของคุณเองก็ได้

เปิด SSO สำหรับ Workplace

เมื่อคุณกำหนดค่า SSO ด้านล่างเสร็จเรียบร้อยแล้ว ผู้ใช้ที่ได้รับสิทธิ์เข้าใช้งานใน Workplace จะสามารถยืนยันตัวตนผ่านทางผู้ให้บริการข้อมูลระบุตัวตนที่คุณเลือก

ข้อกำหนดที่ต้องดำเนินการก่อน

ข้อกำหนดที่ต้องดำเนินการก่อน

เพื่อที่จะเปิดใช้งานการยืนยันตัวตนผ่าน SSO ใน Workplace คุณจะต้อง:

  • มีการเข้าถึงการตั้งค่าการกำหนดค่าผู้ให้บริการข้อมูลระบุตัวตนของคุณ
  • มีการกำหนดบทบาทผู้ดูแลระบบใน Workplace
  • มีบัญชีในผู้ให้บริการข้อมูลระบุตัวตนที่ตรงกับอีเมลผู้ใช้ใน Workplace ที่คุณใช้เข้าสู่ระบบ (เช่น การใช้อีเมลเดียวกันทั้งใน Workplace และผู้ให้บริการข้อมูลระบุตัวตนเพื่อยืนยันตัวตน) นี่เป็นสิ่งสำคัญในการทดสอบ SSO และกำหนดค่า Workplace อย่างถูกต้องและสมบูรณ์
?
Workplace รองรับผู้ให้บริการข้อมูลระบุตัวตนสำหรับ SSO หนึ่งรายในแต่ละอินสแตนซ์ ซึ่งหมายความว่าหากต้องการเปิดใช้ SSO สำหรับผู้ใช้ทั้งหมด คุณควรมีผู้ให้บริการข้อมูลระบุตัวตนทั่วระบบเตรียมไว้สำหรับ SSO หรืออีกทางเลือกหนึ่งคือเราก็รองรับการใช้การยืนยันตัวตนแบบผสม โดยที่ผู้ใช้บางส่วนจะยืนยันตัวตนผ่าน SSO ขณะที่ผู้ใช้รายอื่นจะใช้ข้อมูลประจำตัวชื่อผู้ใช้และรหัสผ่านของ Workplace

คำแนะนำระดับสูง

การเปิดใช้ SSO จำเป็นต้องมีการเปลี่ยนแปลงบางอย่างในผู้ให้บริการข้อมูลระบุตัวตนและ Workplace การกำหนดค่าอาจทำได้หลายแบบ แต่ขั้นตอนสามารถสรุปได้ดังต่อไปนี้ ทั้งนี้ขึ้นอยู่กับผู้ให้บริการข้อมูลระบุตัวตนของคุณ:

1
กำหนดค่าผู้ให้บริการข้อมูลระบุตัวตน (IdP) เพื่อเปิดใช้ SSO สำหรับ Workplace

2
กำหนดค่าเพื่อยืนยันตัวตนผู้ใช้ผ่าน SSO

3
เปิดใช้ SSO สำหรับผู้ใช้ของคุณ

นี่คือภาพรวมรายละเอียดของแต่ละขั้นตอน:

กำหนดค่า IdP สำหรับ SSO ด้วย Workplace

1. กำหนดค่า IdP เพื่อเปิดใช้ SSO สำหรับ Workplace

ปฏิบัติตามคำแนะนำของผู้ให้บริการข้อมูลระบุตัวตนด้านล่างเพื่อกำหนดค่า SSO สำหรับ Workplace ผู้ให้บริการข้อมูลระบุตัวตนในระบบคลาวด์ที่เรารองรับทุกรายมีแอพกำหนดค่าล่วงหน้าเพื่อทำให้การติดตั้ง Workplace เป็นไปได้ง่ายขึ้น

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace ยังรองรับ ADFS ในฐานะผู้ให้บริการ SSO เช่นเดียวกัน อ่านเพิ่มเติมเกี่ยวกับวิธีกำหนดค่า ADFS ในฐานะผู้ให้บริการ SSO สำหรับ Workplace

การกำหนดค่าด้านบนทั้งหมดจะมอบ SAML URL, SAML Issuer URL และ ใบรับรอง X.509 อย่างน้อยหนึ่งรายการ ซึ่งเราจะใช้ในขั้นตอนต่อไปสำหรับการกำหนดค่า Workplace โปรดจดเก็บเอาไว้ทั้งหมด

?
สำหรับใบรับรอง X.509 คุณอาจต้องเปิดใบรับรองที่ดาวน์โหลดมาด้วยตัวช่วยแก้ไขข้อความเพื่อที่จะใช้ในขั้นตอนถัดไป
กำหนดค่า Workplace เพื่อยืนยันตัวตนผู้ใช้ผ่านทาง SSO

2. กำหนดค่า Workplace เพื่อยืนยันตัวตนผู้ใช้ผ่านทาง SSO

เมื่อคุณติดตั้งผู้ให้บริการข้อมูลระบุตัวตนเรียบร้อยแล้ว:

1
ไปยังแผงควบคุมสำหรับผู้ดูแล และเข้าไปที่ส่วนการรักษาความปลอดภัย

2
เข้าไปที่แท็บการยืนยันตัวตน

3
ทำเครื่องหมายที่กล่องกาเครื่องหมายการเข้าสู่ระบบแบบครั้งเดียว (SSO)

4
นำเข้าค่าจากผู้ให้บริการข้อมูลระบุตัวตนของคุณไปยังช่องที่สอดคล้องกัน:
  • SAML URL
  • SAML Issuer URL
  • SAML Logout Redirect (ไม่จำเป็น)
  • ใบรับรอง SAML

5
ขึ้นอยู่กับผู้ให้บริการข้อมูลระบุตัวตนของคุณ คุณอาจจะต้องคัดลอกข้อมูลสำหรับ URL ของกลุ่มเป้าหมาย, URL ของผู้รับ และ ACS (Assertion Consumer Service) URLที่อยู่ในรายการใต้ส่วนของการกำหนดค่า SAML และกำหนดค่าผู้ให้บริการข้อมูลระบุตัวตนตามนั้น

6
เลื่อนไปที่ด้านล่างของส่วนนี้ และคลิกปุ่มทดสอบ SSO ซึ่งจะทำให้มีหน้าต่างป๊อปอัพแสดงขึ้นพร้อมหน้าเข้าสู่ระบบของผู้ให้บริการข้อมูลระบุตัวตนของคุณ ป้อนข้อมูลประจำตัวเพื่อยืนยันตัวตน

?
การแก้ไขปัญหา: ตรวจสอบให้แน่ใจว่าอีเมลที่ใช้ยืนยันตัวตนกับ IdP เป็นอีเมลเดียวกันกับบัญชี Workplace ที่คุณใช้เข้าสู่ระบบ

7
เมื่อการทดสอบเสร็จสมบูรณ์แล้ว เลื่อนลงไปด้านล่างของหน้านั้นแล้วคลิกที่ปุ่มบันทึก

3. เปิดใช้ SSO สำหรับผู้ใช้ของคุณ

เปิดใช้ SSO สำหรับผู้ใช้ของคุณ

ขึ้นอยู่กับการกำหนดค่าการยืนยันตัวตนสำหรับอินสแตนซ์ของคุณ:

  • เปิดใช้งาน SSO สำหรับผู้ใช้ คุณสามารถเปิดใช้ SSO ให้กับผู้ใช้โดยการเข้าสู่ระบบในฐานะผู้ดูแลที่ได้รับสิทธิ์การอนุญาตสำหรับเพิ่มและลบบัญชี จากนั้นปฏิบัติตามขั้นตอนต่อไปนี้ให้เสร็จสิ้นเพื่อเปลี่ยนการตั้งค่า SSO สำหรับผู้ใช้:

    1
    ไปยังแผงควบคุมสำหรับผู้ดูแล และเข้าไปที่ส่วนของผู้คน

    2
    ค้นหาผู้ใช้ที่คุณต้องการเปลี่ยนการตั้งค่าการยืนยันตัวตน

    3
    คลิกที่ปุ่ม ... และเลือก แก้ไขรายละเอียดของบุคคล

    4
    เปลี่ยนช่องเข้าสู่ระบบด้วยเป็น SSO
  • เปิดใช้ SSO สำหรับผู้ใช้ Workplace ทั้งหมด คุณสามารถเปิดใช้ SSO ให้กับผู้ใช้ทั้งหมดโดยการเข้าสู่ระบบในฐานะผู้ดูแลที่มีบทบาทเป็นผู้ดูแลระบบ เมื่อเข้าสู่ระบบในฐานะผู้ดูแลพร้อมสิทธิ์การอนุญาตนี้ คุณจะสามารถดำเนินการตามขั้นตอนต่อไปนี้ให้เสร็จสิ้นเพื่อเปลี่ยนการตั้งค่า SSO สำหรับผู้ใช้ Workplace ทั้งหมดได้

    1
    ไปยังแผงควบคุมสำหรับผู้ดูแล และเข้าไปที่ส่วนการรักษาความปลอดภัย

    2
    เข้าไปที่แท็บการยืนยันตัวตน

    3
    หากคุณต้องการเปลี่ยนผู้ใช้ทุกคนให้เป็น SSO ให้นำเครื่องหมายออกจากกล่องกาเครื่องหมายของรหัสผ่าน
  • เปิดใช้ SSO สำหรับผู้ใช้บางส่วน คุณสามารถใช้วิธีการหลากหลายในการเลือกเปิดใช้ SSO สำหรับบางส่วนของผู้ใช้งาน

    วิธีการเข้าสู่ระบบเป็นหนึ่งในวิธีการที่เรารองรับสำหรับการแก้ไขแบบพร้อมกันในคราวเดียว คุณสามารถตั้งค่าการเข้าสู่ระบบเป็น SSO สำหรับผู้ใช้กลุ่มหนึ่งโดยการใช้csvฟีเจอร์การนำเข้า คุณสามารถอ่านเพิ่มเติมได้ที่การจัดการบัญชีพร้อมกันในคราวเดียว

    หรืออีกทางเลือกหนึ่งคือคุณสามารถใช้ API การจัดการบัญชีของเราเพื่ออัพเดตวิธีการเข้าสู่ระบบสำหรับกลุ่มผู้ใช้ที่กำหนดโดยอัตโนมัติ คุณสามารถอ่านเพิ่มเติมได้ที่ API การจัดการบัญชี

SAML Logout Redirect

SAML Logout Redirect (ไม่จำเป็น)

คุณสามารถเลือกที่จะกำหนดค่า SAML Logout URL ในหน้าการกำหนดค่า SSO ซึ่งสามารถใช้สำหรับชี้ไปยังหน้าออกจากระบบของผู้ให้บริการข้อมูลระบุตัวตนหรือไม่ก็ได้ เมื่อเปิดใช้งานการตั้งค่าและกำหนดค่าแล้ว ผู้ใช้จะไม่สามารถไปยังหน้าการออกจากระบบของ Workplace ได้อีก แต่ระบบจะนำผู้ใช้ไปยัง URL ที่เพิ่มไว้ในการตั้งค่า SAML Logout Redirect

ความถี่ในการยืนยันตัวตนซ้ำ

ความถี่ในการยืนยันตัวตนซ้ำ

คุณสามารถกำหนดค่า Workplace เพื่อเตรียมพร้อมสำหรับการตรวจสอบ SAML ทุกวัน ทุก 3 วัน ทุกสัปดาห์ ทุก 2 สัปดาห์ ทุกเดือน หรือไม่ทำเลยก็ได้ คุณยังสามารถบังคับการรีเซ็ต SAML สำหรับผู้ใช้ทุกรายโดยใช้ปุ่มบังคับการยืนยันตัวตนซ้ำเดี๋ยวนี้

โครงสร้าง Workplace SSO

โครงสร้าง Workplace SSO

?
ส่วนนี้จะให้ภาพรวมที่มีรายละเอียดขั้นตอนของ SSO ที่รองรับโดย Workplace โซลูชั่นตาม SAML ที่กำหนดเองควรเป็นไปตามแนวทางที่ระบุไว้ด้านบนเพื่อผสานการทำงานกับ Workplace สำหรับการยืนยันตัวตน

Workplace รองรับ SAML 2.0 สำหรับ SSO โดยการให้ตัวเลือกกับผู้ดูแลเพื่อจัดการการเข้าถึงไปยังแพลตฟอร์มโดยการใช้ผู้ให้บริการข้อมูลระบุตัวตน (IdP) ที่พวกเขาควบคุม Workplace ได้รับและยอมรับการยืนยันตาม SAML จาก IdP และรับบทบาทของผู้ให้บริการ (SP) ของ SAML ตามขั้นตอนการยืนยันตัวตนดังต่อไปนี้:

1
SP-initiated SSO ผู้ใช้ที่เปิดใช้ SSO เข้าสู่หน้าการเข้าสู่ระบบ จากนั้น:
  • กรอกชื่อผู้ใช้และคลิกที่ปุ่มดำเนินการต่อหรือ
  • คลิกที่ปุ่มเข้าสู่ระบบด้วย SSO

2
Workplace ทำการกลับเข้าสู่ HTTP ที่เชื่อม SP กับ IdP อ็อบเจ็กต์ <samlp:AuthnRequest> ที่ส่งมากับคำขอจะมีข้อมูล เช่น Issuer ซึ่งมี ID อินสแตนซ์ Workplace และ NameIDPolicy ที่ได้ตกลงกันล่วงหน้าระหว่าง IdP และ SP ซึ่งเป็นตัวบ่งชี้ข้อจำกัดในชื่อตัวระบุเพื่อใช้แสดงถึงหัวเรื่องที่ขอ Workplace กำหนดให้ NameID ต้องประกอบด้วยอีเมลของผู้ใช้ (nameid-format:emailAddress)

3
Workplace คาดหวังที่จะได้รับโพสต์ HTTP ที่เชื่อม IdP กับ SP. โทเค็น SAML ได้คืนกลับมาพร้อมกับการยืนยันผู้ใช้รวมทั้งสถานะการยืนยันตัวตน URL แบบ post-back (หรือที่เรียกว่า Assertion Consumer Service URL) ได้รับการกำหนดค่าในระดับ IDP และนำไปยัง/work/saml.phpตำแหน่งข้อมูล
อินสแตนซ์ของ Workplace ของบริษัท

4
ก่อนที่จะยอมให้ผู้ใช้เข้าร่วม Workplace จะตรวจสอบว่า:
  • การตอบรับได้ลงนามพร้อมใบรับรองที่ออกโดย IdP หรือไม่
  • emailAddress ที่ส่งคืนกลับมาในการยืนยัน SAML ตรงกับที่ใช้เริ่มขั้นตอน SSO หรือไม่
  • การยืนยันตัวตนประสบความสำเร็จหรือไม่ (<samlp:​StatusCode Value="urn:​oasis:​names:​tc:​SAML​:2.0:​status:Success"/>)