ภาพรวม
การเข้าสู่ระบบแบบครั้งเดียว (SSO) จะช่วยให้ผู้ใช้สามารถเข้าถึง Workplace ผ่านทางผู้ให้บริการข้อมูลระบุตัวตน (IdP) ที่คุณควบคุม ซึ่งจะเป็นประโยชน์ต่อคุณและทีมของคุณดังนี้
- ปลอดภัยยิ่งขึ้น: มีเลเยอร์การรักษาความปลอดภัยและการกำกับดูแลเพิ่มขึ้น (ไม่มีการจัดเก็บข้อมูลส่วนตัวไว้ภายนอกระบบที่บริษัทของคุณควบคุม หรือการส่งข้อมูลดังกล่าวผ่านเครือข่าย)
- ใช้งานง่ายสำหรับผู้ใช้ปลายทาง: ลงชื่อเข้าใช้ Workplace ด้วยข้อมูลส่วนตัว SSO เดิมเช่นเดียวกับระบบอื่น (เช่น แล็ปท็อปหรือแอพพลิเคชั่นภายใน) ดังนั้น ผู้ใช้ของคุณจึงสามารถเข้าถึง Workplace ได้โดยไม่ต้องจำรหัสผ่านอื่นอีก
Workplace ได้รับการรองรับโดยตรงจากผู้ให้บริการข้อมูลระบุตัวตนหลายรายไม่ว่าจะเป็น Azure AD, G Suite, Okta, OneLogin, Ping Identity ซึ่งช่วยให้สามารถเชื่อมต่อโดยตรงเพื่อให้การตั้งค่าทำได้ง่ายยิ่งขึ้น
เปิด SSO สำหรับ Workplace
เมื่อคุณกำหนดค่า SSO ด้านล่างเรียบร้อยแล้ว ผู้ใช้ที่ได้รับสิทธิ์เข้าใช้งานใน Workplace จะสามารถยืนยันตัวตนผ่านทางผู้ให้บริการข้อมูลระบุตัวตนที่คุณเลือกได้
ข้อกำหนดเบื้องต้นข้อกำหนดเบื้องต้น
คุณจะต้องดำเนินการดังต่อไปนี้เพื่อเปิดใช้งานการยืนยันตัวตนผ่าน SSO บน Workplace
- มีสิทธิ์การเข้าถึงการตั้งค่าการกำหนดค่าของผู้ให้บริการข้อมูลระบุตัวตนของคุณ
- มีบทบาทเป็นผู้ดูแลระบบบน Workplace
- มีบัญชีในผู้ให้บริการข้อมูลระบุตัวตนที่ตรงกับอีเมลใน Workplace ที่คุณใช้เข้าสู่ระบบ (เช่น การใช้อีเมลเดียวกันทั้งใน Workplace และผู้ให้บริการข้อมูลระบุตัวตนเพื่อยืนยันตัวตน) ซึ่งสิ่งนี้มีความสำคัญต่อการทดสอบ SSO และกำหนดค่า Workplace อย่างถูกต้องและสมบูรณ์
คำแนะนำระดับสูง
การเปิดใช้ SSO จำเป็นต้องมีการเปลี่ยนแปลงบางอย่างในผู้ให้บริการข้อมูลระบุตัวตนและ Workplace ซึ่งการเปลี่ยนแปลงนั้นมีทั้งหมด 3 ขั้นตอน ดังนี้
ภาพรวมของแต่ละขั้นตอนมีดังนี้
กำหนดค่า IdP ของคุณสำหรับ SSO ด้วย Workplace1. กำหนดค่า IdP ของคุณเพื่อเปิดใช้งาน SSO สำหรับ Workplace
ปฏิบัติตามคำแนะนำของผู้ให้บริการข้อมูลระบุตัวตนทางด้านล่างเพื่อกำหนดค่า SSO สำหรับ Workplace โดยผู้ให้บริการข้อมูลระบุตัวตนในระบบคลาวด์ที่เรารองรับทุกรายจะมีแอพที่กำหนดค่าล่วงหน้าไว้เพื่อช่วยให้คุณตั้งค่า Workplace ได้ง่ายขึ้น
Workplace ยังรองรับ ADFS ในฐานะผู้ให้บริการ SSO เช่นเดียวกัน อ่านเพิ่มเติมเกี่ยวกับวิธีกำหนดค่า ADFS ในฐานะผู้ให้บริการ SSO สำหรับ Workplace
การกำหนดค่าด้านบนทั้งหมดจะมอบ SAML URL, SAML Issuer URL และ ใบรับรอง X.509 อย่างน้อยหนึ่งรายการ ซึ่งเราจะใช้ในขั้นตอนต่อไปในการกำหนดค่า Workplace โปรดจดเก็บเอาไว้ทั้งหมด
2. กำหนดค่า Workplace เพื่อยืนยันตัวตนผู้ใช้ผ่าน SSO
ขั้นตอนนี้จะเป็นการเชื่อมผู้ให้บริการ SSO ของคุณกับ Workplace
- SAML URL
- SAML Issuer URL
- SAML Logout Redirect (ระบุหรือไม่ก็ได้)
- ใบรับรอง SAML

3. เปิดใช้งาน SSO ให้กับผู้ใช้ของคุณ
เปิดใช้งาน SSO ให้กับผู้ใช้ของคุณขณะนี้คุณสามารถเปิดใช้งาน SSO ให้กับผู้ใช้ของคุณได้ด้วยวิธีต่อไปนี้
- เปิดใช้งาน SSO ให้กับผู้ใช้
- เปิดใช้งาน SSO ให้กับทุกคนในคราวเดียวหรือให้กับผู้ใช้ส่วนหนึ่งของคุณ
เปิดใช้งาน SSO ให้กับผู้ใช้
คุณสามารถเปิดใช้ SSO ให้กับผู้ใช้ได้ด้วยการเข้าสู่ระบบในฐานะผู้ดูแลที่มีสิทธิ์การอนุญาตในการเพิ่มและลบบัญชี

เปิดใช้งาน SSO ให้กับทุกคนในคราวเดียวหรือให้กับผู้ใช้ส่วนหนึ่งของคุณ
คุณสามารถใช้แนวทางต่างๆ ในการเปิดใช้งาน SSO ให้กับทุกคนหรือผู้ใช้ที่เป็นกลุ่มย่อยของคุณได้
- ใช้ API การจัดการบัญชีของเราเพื่ออัพเดตช่อง "วิธีการเข้าสู่ระบบ" ให้กับผู้ใช้กลุ่มหนึ่งโดยอัตโนมัติ ผู้ให้บริการข้อมูลระบุตัวตนส่วนใหญ่ที่ผสานการทำงานกับ Workplace จะอาศัย API นี้ในการซิงค์การตั้งค่าการยืนยันตัวตนสำหรับผู้ใช้ทั้งหมดของคุณ อ่านเพิ่มเติมได้ที่ API การจัดการบัญชี
- วิธีการเข้าสู่ระบบ เป็นหนึ่งในวิธีการที่เรารองรับสำหรับการแก้ไขแบบครั้งละหลายรายการ โดยคุณสามารถตั้งค่าช่อง
Login method
เป็น SSO สำหรับผู้ใช้กลุ่มหนึ่งได้ด้วยการใช้ฟีเจอร์การนำเข้าสเปรดชีต คุณสามารถอ่านเพิ่มเติมได้ที่การจัดการบัญชีครั้งละหลายรายการ
SAML Logout Redirect (ระบุหรือไม่ก็ได้)
คุณสามารถเลือกที่จะกำหนดค่า SAML Logout URL ในหน้าการกำหนดค่า SSO ซึ่งสามารถใช้เพื่อระบุหน้าการออกจากระบบของผู้ให้บริการข้อมูลระบุตัวตนของคุณได้ โดยเมื่อเปิดใช้งานการตั้งค่านี้และกำหนดค่าแล้ว ระบบก็จะไม่พาผู้ใช้ไปยังหน้าการออกจากระบบของ Workplace อีก แต่จะพาผู้ใช้ไปยัง URL ที่เพิ่มไว้ในการตั้งค่า SAML Logout Redirect แทน
ความถี่ในการยืนยันตัวตนซ้ำความถี่ในการยืนยันตัวตนซ้ำ
คุณสามารถกำหนดค่า Workplace เพื่อกำหนดเวลาการตรวจสอบ SAML ให้เป็นทุกวัน ทุกสามวัน ทุกสัปดาห์ ทุกสองสัปดาห์ ทุกเดือน หรือไม่ตรวจสอบเลย และสามารถบังคับการรีเซ็ต SAML สำหรับผู้ใช้ทั้งหมดได้โดยใช้ปุ่ม "บังคับตรวจสอบยืนยันตัวตนซ้ำเดี๋ยวนี้"
โครงสร้างของ SSO บน Workplace
Workplace รองรับ SAML 2.0 สำหรับ SSO โดยให้ตัวเลือกกับผู้ดูแลในการจัดการการเข้าถึงแพลตฟอร์มด้วยการใช้ผู้ให้บริการข้อมูลระบุตัวตน (IdP) ที่ตนควบคุม Workplace ได้รับและยอมรับเอกสารข้อมูลการยืนยัน (Assertion) แบบ SAML จาก IdP และรับหน้าที่เป็นผู้ให้บริการ (SP) ของ SAML ตามขั้นตอนการยืนยันตัวตนดังต่อไปนี้
- กรอกชื่อผู้ใช้แล้วคลิกปุ่ม "ดำเนินการต่อ" หรือ
- คลิกปุ่ม "เข้าสู่ระบบด้วย SSO"
<samlp:AuthnRequest>
ที่ส่งกับคำขอจะมีข้อมูล เช่น Issuer
ซึ่งมี ID อินสแตนซ์ Workplace และ NameIDPolicy
ซึ่งได้ตกลงกันล่วงหน้าระหว่าง IdP กับ SP และเป็นตัวบ่งชี้ข้อจำกัดในชื่อตัวระบุที่ใช้แสดงถึงหัวเรื่องที่ร้องขอ โดย Workplace ได้กำหนดให้ NameID จะต้องประกอบด้วยอีเมลของผู้ใช้ (nameid-format:emailAddress
) /work/saml.php
ของอินสแตนซ์ Workplace ของบริษัท- การตอบรับได้ลงนามพร้อมใบรับรองที่ออกโดย IdP หรือไม่
emailAddress
ที่ส่งคืนกลับมาในเอกสารข้อมูลการยืนยัน SAML ตรงกับที่ใช้เริ่มขั้นตอน SSO หรือไม่- การยืนยันตัวตนสำเร็จหรือไม่ (
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
)