Logowanie jednokrotne Unmind jest oparte na SAML. Po skonfigurowaniu SSO zapewnia ono Państwa pracownikom bezproblemowy dostęp do Unmind przy użyciu wybranego dostawcy tożsamości idP. Na przykład: Okta, Microsoft Azure AD, Ping identity, OneLogin itp..
Unmind oferuje SSO inicjowane przez dostawcę usług SP.
SSO może zostać skonfigurowane przez zespół techniczny Unmind dla nowych lub istniejących klientów.
Opcje SSO
Gdy SSO jest włączone dla Państwa firmy, istnieją 2 główne opcje konfiguracji:
- Tylko SSO – wszyscy pracownicy muszą korzystać z firmowego loginu SSO, aby uzyskać dostęp do Unmind za pomocą przeglądarki internetowej lub aplikacji mobilnej. Jest to zalecana przez nas opcja.
- Tryb mieszany – każdy pracownik może wybrać, czy chce korzystać z firmowego SSO, czy z nazwy użytkownika i hasła, ale może korzystać tylko z jednej metody. Pracownik może przełączyć się z nazwy użytkownika i hasła na SSO, ale nie może przełączyć się z powrotem.
Udostępnianie użytkowników just-in-time (JIT)
Kiedy nowy pracownik uzyskuje dostęp do Unmind za pomocą SSO, automatycznie tworzymy w tym momencie jego konto. Nie ma potrzeby wcześniejszego przesyłania listy kwalifikujących się użytkowników.
Konfigurowanie SSO
Informacje techniczne wymagane przez Unmind od Państwa firmy w celu skonfigurowania połączenia SSO SAML:
- Adres URL strony logowania SAML dla dostawcy tożsamości dla firmy. Na przykład https://yourcompany.youridentityprovider.com/1234/sso/saml
- Certyfikat x509
Zazwyczaj można je uzyskać z adresu URL, który może dostarczyć Państwa zespół techniczny,
na przykład https://yourcompany.youridentityprovider.com/1234/sso/saml/metadata
Informacje techniczne, które Unmind dostarczy Państwa firmie w celu skonfigurowania SSO:
Unmind skonfiguruje połączenie SAML i zapewni Państwa zespołowi technicznemu punkt końcowy metadanych SAML. Na przykład: https://auth.unmind.com/samlp/metadata?connection=your_company
Zapewni to kluczowe atrybuty, takie jak
- EntityID
- Szczegóły podpisywania uwierzytelniania
- ADRES URL ACS
- Certyfikat x509 firmy Unmind
- Adres URL wylogowania
Obraz logo Unmind z przezroczystym tłem. Można go dodać do portalu aplikacji Państwa firmy wraz z adresem URL kierującym pracowników do strony logowania Unmind SSO, na przykład https://yourcompany.unmind.com/sso
Podpisywanie odpowiedzi SAML
Domyślnie jest to SHA256, ale w razie potrzeby obsługujemy również SHA1.
Dodatkowe szczegóły konfiguracji SSO
Następujące informacje o użytkowniku dotyczące pracownika muszą być zawarte w typach oświadczeń asercji SAML.
- Wymagany atrybut (inaczej SAML_Subject, klucz podstawowy, nazwa logowania, format nazwy użytkownika aplikacji itp.) – NameID: jest to zazwyczaj adres e-mail pracownika (ale może to być identyfikator pracownika, jeśli jest to Państwa unikalny identyfikator).
Inne atrybuty:
- given_name: user.firstname
- family_name: user.lastName
- e-mail: user.email (jeśli dotyczy)