Wprowadzenie
Unmind używa Auth0 by Okta, aby umożliwić pojedyncze logowanie (single sign on, SSO) z protokołem SAML 2.0.
Auth0 spełnia i utrzymuje zgodność z RODO, HIPAA i HITECH, CSA STAR, ISO 27001/27018, PCI DSS i SOC2.
Konta użytkowników są dodawane do Unmind na zasadzie just-in-time poprzez SAML SSO.
Unmind nie obsługuje aprowizacji SCIM, a usuwanie aprowizacji odbywa się za pośrednictwem oddzielnego połączenia HRIS.
Wymagania dotyczące konfiguracji
Należy podać Unmind następujące informacje:
- Bezpośrednie dane kontaktowe zespołu/osoby odpowiedzialnej za zarządzanie i konfigurację połączeń u Państwa dostawcy SSO (np. Okta; OneLogin; Microsoft Azure Active Directory).
- Unikalny identyfikator – można użyć adresu e-mail lub identyfikatora pracownika jako unikalnego identyfikatora konta użytkownika (zazwyczaj jest to adres e-mail).
- Jeśli chcą Państwo włączyć przepływ IdP inicjowany przez dostawcę tożsamości jako część konfiguracji SSO.
Proces konfiguracji SSO SAML
1. Unmind dostarczy plik metadanych SAML, który będzie zawierał nasze dane:
- Identyfikator podmiotu dostawcy usług / identyfikator URI odbiorcy
- Certyfikaty weryfikacji X509
- Punkty końcowe protokołu Assertion Consumer Service URL
2. Proszę skonfigurować połączenie SSO u swojego dostawcy SSO (np. Okta / MS Azure), używając dostarczonego pliku metadanych.
3. Proszę upewnić się, że połączenie jest skonfigurowane do wysyłania następujących atrybutów do Unmind, w formacie nazwy "Basic";
- Imię
- Nazwisko
- Adres e-mail (w przypadku używania adresu e-mail jako unikalnego identyfikatora)
- Identyfikator pracownika (w przypadku używania identyfikatora pracownika jako unikalnego identyfikatora)
4. Po skonfigurowaniu połączenia SSO, proszę wysłać plik metadanych do Unmind.
5. Następnie Unmind skonfiguruje połączenie SSO w systemach Unmind.
6. Jeśli zażądali Państwo włączenia przepływu IdP, Unmind dostarczy również zaktualizowaną wartość dla pola konfiguracji pojedynczego logowania u Państwa dostawcy SSO, aby włączyć przepływ IdP.
Testowanie połączenia SSO
Po zakończeniu konfiguracji Unmind udostępni adres URL, z którego można przetestować logowanie SSO inicjowane przez dostawcę usług.
Jeśli poprosili Państwo o włączenie przepływu IdP, poprosimy również o przetestowanie tego.
Aby test zakończył się pomyślnie:
- Nowi użytkownicy, po zalogowaniu się za pośrednictwem SSO, zostaną poproszeni o wyrażenie zgody na otrzymywanie wiadomości e-mail od Unmind i podanie dodatkowych informacji demograficznych, zanim zostaną przeniesieni na stronę Unmind „Today”.
- Istniejący użytkownicy, którzy utworzyli już konto Unmind przed włączeniem SSO, zostaną przeniesieni na stronę Unmind „Today”. Uwaga – W przypadku korzystania z identyfikatora pracownika jako unikalnego identyfikatora pracownicy zostaną poproszeni o wprowadzenie pierwotnego hasła Unmind w ramach ostrożności. Pracownicy będą musieli to zrobić tylko przy pierwszym logowaniu za pomocą SSO. Następnie zostaną przeniesieni bezpośrednio na stronę Unmind „Today”.
W przypadku nieudanego testu proszę dostarczyć pełny zrzut ekranu strony, na której się Państwo znajdują do Unmind, aby uzyskać pomóc w rozwiązywaniu problemów.
Uruchamianie SSO
Po pomyślnym zakończeniu testów Unmind skoordynuje z Państwem włączenie SSO jako podstawowej metody logowania w Państwa subdomenie Unmind.com.