Workplace for Good
เราให้องค์กรการกุศลที่ไม่แสวงผลกำไรที่มีคุณสมบัติเข้าเกณฑ์สามารถใช้งาน Workplace Core ได้ฟรี

การยืนยันตัวตน

เรียนรู้เกี่ยวกับตัวเลือกในการอนุญาตให้ผู้ใช้เข้าถึง Workplace

เนื้อหา

ภาพรวม

ภาพรวม

การเข้าสู่ระบบแบบครั้งเดียว (SSO) จะช่วยให้ผู้ใช้สามารถเข้าถึง Workplace ผ่านทางผู้ให้บริการข้อมูลระบุตัวตน (IdP) ที่คุณควบคุม ซึ่งจะเป็นประโยชน์ต่อคุณและทีมของคุณดังนี้

  • ปลอดภัยยิ่งขึ้น: มีเลเยอร์การรักษาความปลอดภัยและการกำกับดูแลเพิ่มขึ้น (ไม่มีการจัดเก็บข้อมูลส่วนตัวไว้ภายนอกระบบที่บริษัทของคุณควบคุม หรือการส่งข้อมูลดังกล่าวผ่านเครือข่าย)
  • ใช้งานง่ายสำหรับผู้ใช้ปลายทาง: ลงชื่อเข้าใช้ Workplace ด้วยข้อมูลส่วนตัว SSO เดิมเช่นเดียวกับระบบอื่น (เช่น แล็ปท็อปหรือแอพพลิเคชั่นภายใน) ดังนั้น ผู้ใช้ของคุณจึงสามารถเข้าถึง Workplace ได้โดยไม่ต้องจำรหัสผ่านอื่นอีก

Workplace ได้รับการรองรับโดยตรงจากผู้ให้บริการข้อมูลระบุตัวตนหลายรายไม่ว่าจะเป็น Azure AD, G Suite, Okta, OneLogin, Ping Identity ซึ่งช่วยให้สามารถเชื่อมต่อโดยตรงเพื่อให้การตั้งค่าทำได้ง่ายยิ่งขึ้น

?
Workplace รองรับ SAML (Security Assertion Markup Language) 2.0 สำหรับ SSO SAML เป็นมาตรฐานอุตสาหกรรม ดังนั้น SAML จึงได้กลายเป็นความสามารถในการผสานการทำงานกับผู้ให้บริการข้อมูลระบุตัวตนที่สนับสนุน SAML 2.0 ได้อย่างง่ายดายแม้ว่าผู้ให้บริการนั้นจะไม่ได้อยู่ในรายชื่อในหน้านี้ หรือแม้กระทั่งคุณเองก็สามารถนำ SSO ไปใช้ได้

เปิด SSO สำหรับ Workplace

เมื่อคุณกำหนดค่า SSO ด้านล่างเรียบร้อยแล้ว ผู้ใช้ที่ได้รับสิทธิ์เข้าใช้งานใน Workplace จะสามารถยืนยันตัวตนผ่านทางผู้ให้บริการข้อมูลระบุตัวตนที่คุณเลือกได้

ข้อกำหนดเบื้องต้น

ข้อกำหนดเบื้องต้น

คุณจะต้องดำเนินการดังต่อไปนี้เพื่อเปิดใช้งานการยืนยันตัวตนผ่าน SSO บน Workplace

  • มีสิทธิ์การเข้าถึงการตั้งค่าการกำหนดค่าของผู้ให้บริการข้อมูลระบุตัวตนของคุณ
  • มีบทบาทเป็นผู้ดูแลระบบบน Workplace
  • มีบัญชีในผู้ให้บริการข้อมูลระบุตัวตนที่ตรงกับอีเมลใน Workplace ที่คุณใช้เข้าสู่ระบบ (เช่น การใช้อีเมลเดียวกันทั้งใน Workplace และผู้ให้บริการข้อมูลระบุตัวตนเพื่อยืนยันตัวตน) ซึ่งสิ่งนี้มีความสำคัญต่อการทดสอบ SSO และกำหนดค่า Workplace อย่างถูกต้องและสมบูรณ์
?
Workplace รองรับผู้ให้บริการข้อมูลระบุตัวตนสำหรับ SSO หนึ่งรายในแต่ละอินสแตนซ์ ซึ่งหมายความว่า หากคุณต้องการเปิดใช้ SSO สำหรับผู้ใช้ทั้งหมด คุณควรมีผู้ให้บริการข้อมูลระบุตัวตนทั้งระบบเตรียมไว้สำหรับ SSO นอกจากนี้ เรายังรองรับการใช้การยืนยันตัวตนแบบผสม โดยที่ผู้ใช้บางส่วนจะยืนยันตัวตนผ่าน SSO ขณะที่ผู้ใช้รายอื่นจะใช้ข้อมูลส่วนตัวอย่างชื่อผู้ใช้และรหัสผ่านของ Workplace ตลอดจนมอบการสนับสนุนผู้ให้บริการข้อมูลระบุตัวตนหลายรายในแผน Enterprise ของเราอีกด้วย

คำแนะนำระดับสูง

การเปิดใช้ SSO จำเป็นต้องมีการเปลี่ยนแปลงบางอย่างในผู้ให้บริการข้อมูลระบุตัวตนและ Workplace ซึ่งการเปลี่ยนแปลงนั้นมีทั้งหมด 3 ขั้นตอน ดังนี้

1
กำหนดค่าผู้ให้บริการข้อมูลระบุตัวตน (IdP) ของคุณเพื่อเปิดใช้งาน SSO สำหรับ Workplace

2
กำหนดค่า Workplace เพื่อยืนยันตัวตนผู้ใช้ผ่าน SSO

3
เปิดใช้งาน SSO ให้กับผู้ใช้ของคุณ

ภาพรวมของแต่ละขั้นตอนมีดังนี้

กำหนดค่า IdP ของคุณสำหรับ SSO ด้วย Workplace

1. กำหนดค่า IdP ของคุณเพื่อเปิดใช้งาน SSO สำหรับ Workplace

ปฏิบัติตามคำแนะนำของผู้ให้บริการข้อมูลระบุตัวตนทางด้านล่างเพื่อกำหนดค่า SSO สำหรับ Workplace โดยผู้ให้บริการข้อมูลระบุตัวตนในระบบคลาวด์ที่เรารองรับทุกรายจะมีแอพที่กำหนดค่าล่วงหน้าไว้เพื่อช่วยให้คุณตั้งค่า Workplace ได้ง่ายขึ้น

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace ยังรองรับ ADFS ในฐานะผู้ให้บริการ SSO เช่นเดียวกัน อ่านเพิ่มเติมเกี่ยวกับวิธีกำหนดค่า ADFS ในฐานะผู้ให้บริการ SSO สำหรับ Workplace

การกำหนดค่าด้านบนทั้งหมดจะมอบ SAML URL, SAML Issuer URL และ ใบรับรอง X.509 อย่างน้อยหนึ่งรายการ ซึ่งเราจะใช้ในขั้นตอนต่อไปในการกำหนดค่า Workplace โปรดจดเก็บเอาไว้ทั้งหมด

?
สำหรับใบรับรอง X.509 คุณอาจต้องเปิดใบรับรองที่ดาวน์โหลดมาด้วยตัวช่วยแก้ไขข้อความเพื่อที่จะใช้ในขั้นตอนถัดไป
กำหนดค่า Workplace เพื่อยืนยันตัวตนผู้ใช้ผ่าน SSO

2. กำหนดค่า Workplace เพื่อยืนยันตัวตนผู้ใช้ผ่าน SSO

ขั้นตอนนี้จะเป็นการเชื่อมผู้ให้บริการ SSO ของคุณกับ Workplace

1
เลือก "การรักษาความปลอดภัย" ใน "แผงควบคุมสำหรับผู้ดูแล"

2
คลิกที่แท็บ "การยืนยันตัวตน"

3
ทำเครื่องหมายที่กล่องกาเครื่องหมาย "การเข้าสู่ระบบแบบครั้งเดียว (SSO)"

4
คลิก "+ เพิ่มผู้ให้บริการ SSO รายใหม่"

5
กรอกค่าจากผู้ให้บริการข้อมูลระบุตัวตนลงในช่องที่เกี่ยวข้อง
  • SAML URL
  • SAML Issuer URL
  • SAML Logout Redirect (ระบุหรือไม่ก็ได้)
  • ใบรับรอง SAML

?
คุณอาจจะต้องคัดลอกค่าสำหรับ URL ของกลุ่มเป้าหมาย, URL ของผู้รับ และ URL ของ ACS (Assertion Consumer Service) ที่อยู่ในรายการใต้ส่วน "การกำหนดค่า SAML" และกำหนดค่าผู้ให้บริการข้อมูลระบุตัวตนตามนั้น

5
เลื่อนลงไปที่ด้านล่างของส่วนนี้แล้วคลิกปุ่ม "ทดสอบ SSO" ซึ่งจะมีหน้าต่างป๊อปอัพปรากฏขึ้นพร้อมหน้าการเข้าสู่ระบบของผู้ให้บริการข้อมูลระบุตัวตนของคุณ จากนั้นให้คุณป้อนข้อมูลส่วนตัวเพื่อยืนยันตัวตน

?
การแก้ไขปัญหา: ตรวจสอบให้แน่ใจว่าอีเมลที่ใช้ในการยืนยันตัวตนกับ IdP ของคุณเป็นอีเมลเดียวกันกับบัญชี Workplace ที่คุณใช้เข้าสู่ระบบ

6
เมื่อการทดสอบเสร็จสมบูรณ์แล้ว ให้คุณเลื่อนลงไปที่ด้านล่างของหน้านั้นแล้วคลิกที่ปุ่ม "บันทึก"

7
หากจำเป็น ให้กำหนดค่า SSO เป็นการยืนยันตัวตนตามค่าเริ่มต้นสำหรับผู้ใช้รายใหม่ด้วยการเลือก "SSO" ในเมนูดร็อปดาวน์ "ค่าเริ่มต้นสำหรับผู้ใช้รายใหม่"

3. เปิดใช้งาน SSO ให้กับผู้ใช้ของคุณ

เปิดใช้งาน SSO ให้กับผู้ใช้ของคุณ

ขณะนี้คุณสามารถเปิดใช้งาน SSO ให้กับผู้ใช้ของคุณได้ด้วยวิธีต่อไปนี้

  • เปิดใช้งาน SSO ให้กับผู้ใช้
  • เปิดใช้งาน SSO ให้กับทุกคนในคราวเดียวหรือให้กับผู้ใช้ส่วนหนึ่งของคุณ

เปิดใช้งาน SSO ให้กับผู้ใช้

คุณสามารถเปิดใช้ SSO ให้กับผู้ใช้ได้ด้วยการเข้าสู่ระบบในฐานะผู้ดูแลที่มีสิทธิ์การอนุญาตในการเพิ่มและลบบัญชี

1
ในแผงควบคุมสำหรับผู้ดูแล ให้เลือก "ผู้คน"

2
ค้นหาผู้ใช้ที่คุณต้องการเปิดใช้งาน SSO ให้

3
คลิกปุ่ม "..." แล้วเลือก "แก้ไขรายละเอียดของบุคคล"

4
เลือก "SSO" ในส่วน "เข้าสู่ระบบด้วย"
เปิดใช้งาน SSO ให้กับทุกคนในคราวเดียวหรือให้กับผู้ใช้ส่วนหนึ่งของคุณ

คุณสามารถใช้แนวทางต่างๆ ในการเปิดใช้งาน SSO ให้กับทุกคนหรือผู้ใช้ที่เป็นกลุ่มย่อยของคุณได้

  • ใช้ API การจัดการบัญชีของเราเพื่ออัพเดตช่อง "วิธีการเข้าสู่ระบบ" ให้กับผู้ใช้กลุ่มหนึ่งโดยอัตโนมัติ ผู้ให้บริการข้อมูลระบุตัวตนส่วนใหญ่ที่ผสานการทำงานกับ Workplace จะอาศัย API นี้ในการซิงค์การตั้งค่าการยืนยันตัวตนสำหรับผู้ใช้ทั้งหมดของคุณ อ่านเพิ่มเติมได้ที่ API การจัดการบัญชี
  • วิธีการเข้าสู่ระบบ เป็นหนึ่งในวิธีการที่เรารองรับสำหรับการแก้ไขแบบครั้งละหลายรายการ โดยคุณสามารถตั้งค่าช่อง Login method เป็น SSO สำหรับผู้ใช้กลุ่มหนึ่งได้ด้วยการใช้ฟีเจอร์การนำเข้าสเปรดชีต คุณสามารถอ่านเพิ่มเติมได้ที่การจัดการบัญชีครั้งละหลายรายการ
SAML Logout Redirect

SAML Logout Redirect (ระบุหรือไม่ก็ได้)

คุณสามารถเลือกที่จะกำหนดค่า SAML Logout URL ในหน้าการกำหนดค่า SSO ซึ่งสามารถใช้เพื่อระบุหน้าการออกจากระบบของผู้ให้บริการข้อมูลระบุตัวตนของคุณได้ โดยเมื่อเปิดใช้งานการตั้งค่านี้และกำหนดค่าแล้ว ระบบก็จะไม่พาผู้ใช้ไปยังหน้าการออกจากระบบของ Workplace อีก แต่จะพาผู้ใช้ไปยัง URL ที่เพิ่มไว้ในการตั้งค่า SAML Logout Redirect แทน

ความถี่ในการยืนยันตัวตนซ้ำ

ความถี่ในการยืนยันตัวตนซ้ำ

คุณสามารถกำหนดค่า Workplace เพื่อกำหนดเวลาการตรวจสอบ SAML ให้เป็นทุกวัน ทุกสามวัน ทุกสัปดาห์ ทุกสองสัปดาห์ ทุกเดือน หรือไม่ตรวจสอบเลย และสามารถบังคับการรีเซ็ต SAML สำหรับผู้ใช้ทั้งหมดได้โดยใช้ปุ่ม "บังคับตรวจสอบยืนยันตัวตนซ้ำเดี๋ยวนี้"

โครงสร้างของ SSO บน Workplace

โครงสร้างของ SSO บน Workplace

?
ส่วนนี้จะให้ภาพรวมที่มีรายละเอียดขั้นตอนของ SSO ที่ Workplace รองรับ โดยโซลูชั่นที่เน้น SAML แบบกำหนดเองควรเป็นไปตามแนวทางที่ระบุไว้ด้านบนเพื่อผสานการทำงานกับ Workplace เพื่อใช้ในการยืนยันตัวตน

Workplace รองรับ SAML 2.0 สำหรับ SSO โดยให้ตัวเลือกกับผู้ดูแลในการจัดการการเข้าถึงแพลตฟอร์มด้วยการใช้ผู้ให้บริการข้อมูลระบุตัวตน (IdP) ที่ตนควบคุม Workplace ได้รับและยอมรับเอกสารข้อมูลการยืนยัน (Assertion) แบบ SAML จาก IdP และรับหน้าที่เป็นผู้ให้บริการ (SP) ของ SAML ตามขั้นตอนการยืนยันตัวตนดังต่อไปนี้

1
SP-initiated SSO ผู้ใช้ที่เปิดใช้งาน SSO เข้าสู่หน้าการเข้าสู่ระบบ Workplace จากนั้น:
  • กรอกชื่อผู้ใช้แล้วคลิกปุ่ม "ดำเนินการต่อ" หรือ
  • คลิกปุ่ม "เข้าสู่ระบบด้วย SSO"

2
Workplace เชื่อมโยง HTTP Redirect จาก SP ไปยัง IdP ออบเจ็กต์ <samlp:AuthnRequest> ที่ส่งกับคำขอจะมีข้อมูล เช่น Issuer ซึ่งมี ID อินสแตนซ์ Workplace และ NameIDPolicy ซึ่งได้ตกลงกันล่วงหน้าระหว่าง IdP กับ SP และเป็นตัวบ่งชี้ข้อจำกัดในชื่อตัวระบุที่ใช้แสดงถึงหัวเรื่องที่ร้องขอ โดย Workplace ได้กำหนดให้ NameID จะต้องประกอบด้วยอีเมลของผู้ใช้ (nameid-format:emailAddress)

3
Workplace คาดหวังว่าจะมีการเชื่อมโยง HTTP Post จาก IdP ไปยัง SP ระบบได้รับโทเค็น SAML กลับคืนมาพร้อมข้อมูลการยืนยันผู้ใช้ ซึ่งรวมถึงสถานะการยืนยันตัวตน URL แบบ post-back ของ Workplace (หรือที่เรียกว่า Assertion Consumer Service URL) จะได้รับการกำหนดค่าในระดับ IDP และนำไปยังตำแหน่งข้อมูล /work/saml.php ของอินสแตนซ์ Workplace ของบริษัท

4
ก่อนที่ให้ผู้ใช้เข้าสู่ระบบ Workplace จะตรวจสอบดังต่อไปนี้
  • การตอบรับได้ลงนามพร้อมใบรับรองที่ออกโดย IdP หรือไม่
  • emailAddress ที่ส่งคืนกลับมาในเอกสารข้อมูลการยืนยัน SAML ตรงกับที่ใช้เริ่มขั้นตอน SSO หรือไม่
  • การยืนยันตัวตนสำเร็จหรือไม่ (<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>)