Wprowadzenie

Unmind używa Auth0 by Okta, aby umożliwić pojedyncze logowanie (single sign on, SSO) z protokołem SAML 2.0.

Auth0 spełnia i utrzymuje zgodność z RODO, HIPAA i HITECH, CSA STAR, ISO 27001/27018, PCI DSS i SOC2.

Konta użytkowników są dodawane do Unmind na zasadzie just-in-time poprzez SAML SSO.

Unmind nie obsługuje aprowizacji SCIM, a usuwanie aprowizacji odbywa się za pośrednictwem oddzielnego połączenia HRIS.

Wymagania dotyczące konfiguracji

Należy podać Unmind następujące informacje:

  • Bezpośrednie dane kontaktowe zespołu/osoby odpowiedzialnej za zarządzanie i konfigurację połączeń u Państwa dostawcy SSO (np. Okta; OneLogin; Microsoft Azure Active Directory).
  • Unikalny identyfikator – można użyć adresu e-mail lub identyfikatora pracownika jako unikalnego identyfikatora konta użytkownika (zazwyczaj jest to adres e-mail).
  • Jeśli chcą Państwo włączyć przepływ IdP inicjowany przez dostawcę tożsamości jako część konfiguracji SSO.

Proces konfiguracji SSO SAML

1. Unmind dostarczy plik metadanych SAML, który będzie zawierał nasze dane:

  • Identyfikator podmiotu dostawcy usług / identyfikator URI odbiorcy
  • Certyfikaty weryfikacji X509
  • Punkty końcowe protokołu Assertion Consumer Service URL

2. Proszę skonfigurować połączenie SSO u swojego dostawcy SSO (np. Okta / MS Azure), używając dostarczonego pliku metadanych.

3. Proszę upewnić się, że połączenie jest skonfigurowane do wysyłania następujących atrybutów do Unmind, w formacie nazwy "Basic";

  • Imię
  • Nazwisko
  • Adres e-mail (w przypadku używania adresu e-mail jako unikalnego identyfikatora)
  • Identyfikator pracownika (w przypadku używania identyfikatora pracownika jako unikalnego identyfikatora)

4. Po skonfigurowaniu połączenia SSO, proszę wysłać plik metadanych do Unmind.

5. Następnie Unmind skonfiguruje połączenie SSO w systemach Unmind.

6. Jeśli zażądali Państwo włączenia przepływu IdP, Unmind dostarczy również zaktualizowaną wartość dla pola konfiguracji pojedynczego logowania u Państwa dostawcy SSO, aby włączyć przepływ IdP.

Testowanie połączenia SSO

Po zakończeniu konfiguracji Unmind udostępni adres URL, z którego można przetestować logowanie SSO inicjowane przez dostawcę usług.

Jeśli poprosili Państwo o włączenie przepływu IdP, poprosimy również o przetestowanie tego.

Aby test zakończył się pomyślnie:

  • Nowi użytkownicy, po zalogowaniu się za pośrednictwem SSO, zostaną poproszeni o wyrażenie zgody na otrzymywanie wiadomości e-mail od Unmind i podanie dodatkowych informacji demograficznych, zanim zostaną przeniesieni na stronę Unmind „Today”.
  • Istniejący użytkownicy, którzy utworzyli już konto Unmind przed włączeniem SSO, zostaną przeniesieni na stronę Unmind „Today”. Uwaga – W przypadku korzystania z identyfikatora pracownika jako unikalnego identyfikatora pracownicy zostaną poproszeni o wprowadzenie pierwotnego hasła Unmind w ramach ostrożności. Pracownicy będą musieli to zrobić tylko przy pierwszym logowaniu za pomocą SSO. Następnie zostaną przeniesieni bezpośrednio na stronę Unmind „Today”.

W przypadku nieudanego testu proszę dostarczyć pełny zrzut ekranu strony, na której się Państwo znajdują do Unmind, aby uzyskać pomóc w rozwiązywaniu problemów.

Uruchamianie SSO

Po pomyślnym zakończeniu testów Unmind skoordynuje z Państwem włączenie SSO jako podstawowej metody logowania w Państwa subdomenie Unmind.com.