导言
Unmind使用Okta的Auth0,通过SAML2.0协议,实现单点登录SSO。
Auth0符合并保持遵守GDPR、HIPAA和HITECH、CSA STAR、ISO 27001/27018、PCI DSS和SOC2。
Unmind通过SAML SSO及时配置用户账户。
Unmind不支持SCIM配置,取消配置是通过单独的HRIS连接进行处理。
设置要求
请向Unmind提供以下信息:
- 负责管理和配置SSO提供商(如Okta、OneLogin、Microsoft Azure Active Directory)内连接的团队/人员的直接联系方式。
- 使用的唯一标识符——我们支持使用电子邮件地址或雇员ID作为用户账户的唯一标识符(通常是电子邮件地址)。
- 如果希望在SSO设置中启用身份,请将提供商发起的IdP流作为SSO设置的一部分。
SSO SAML配置流程
1. Unmind将提供一个SAML元数据文件,其中包括我们的:
- SP实体ID/受众URI
- X509核查证书
- 协议端点断言消费者服务URL
2. 请使用提供的元数据文件,在SSO提供商(如Okta/MS Azure)中配置SSO连接。
3. 请确保连接已配置为向Unmind发送以下属性,名称格式为“Basic“;
- 名字
- 姓氏
- 电子邮件地址(如果使用电子邮件作为唯一标识符)
- 员工ID(如果使用员工ID作为唯一标识符)
4. 建立SSO连接后,请将元数据文件发送给Unmind。
5. Unmind随后将在Unmind的系统中配置SSO连接。
6. 如果您要求启用IdP流,Unmind还将为您的SSO提供商中的 “单点登录“ 配置字段提供更新值,以启用IdP流。
测试SSO连接
配置完成后,Unmind将提供一个URL,您可以从该URL测试使用服务提供商启动的SSO登录。
如果您要求启用IdP流,我们也会要求您进行测试。
要想测试成功:
- 新用户:新用户通过SSO登录后,在进入Unmind“今日“页面之前,会被要求同意接收来自Unmind的电子邮件,并提供一些额外的人口统计信息。
- 现有用户:在启用SSO之前已经创建了Unmind账户的现有用户,将进入Unmind“今日“页面。注意——如果使用Employee-ID作为唯一标识符,为安全起见,员工将被要求输入其原来的Unmind密码。员工只有在第一次使用SSO登录时才需要这样做。此后,员工将直接进入Unmind“今日“页面。
如果测试不成功,请向Unmind提供完整的页面截图,以帮助排除故障。
启动SSO
测试成功后,Unmind将与您协调,在Unmind.com子域上启用SSO作为主要登录方法。