导言

Unmind使用Okta的Auth0，通过SAML2.0协议，实现单点登录SSO。

Auth0符合并保持遵守GDPR、HIPAA和HITECH、CSA STAR、ISO 27001/27018、PCI DSS和SOC2。

Unmind通过SAML SSO及时配置用户账户。

Unmind不支持SCIM配置，取消配置是通过单独的HRIS连接进行处理。

设置要求

请向Unmind提供以下信息：

• 负责管理和配置SSO提供商（如Okta、OneLogin、Microsoft Azure Active Directory）内连接的团队/人员的直接联系方式。
• 使用的唯一标识符——我们支持使用电子邮件地址或雇员ID作为用户账户的唯一标识符（通常是电子邮件地址）。
• 如果希望在SSO设置中启用身份，请将提供商发起的IdP流作为SSO设置的一部分。

SSO SAML配置流程

1. Unmind将提供一个SAML元数据文件，其中包括我们的：

• SP实体ID/受众URI
• X509核查证书
• 协议端点断言消费者服务URL

2. 请使用提供的元数据文件，在SSO提供商（如Okta/MS Azure）中配置SSO连接。

3. 请确保连接已配置为向Unmind发送以下属性，名称格式为“Basic“；

• 名字
• 姓氏
• 电子邮件地址（如果使用电子邮件作为唯一标识符）
• 员工ID（如果使用员工ID作为唯一标识符）

4. 建立SSO连接后，请将元数据文件发送给Unmind。

5. Unmind随后将在Unmind的系统中配置SSO连接。

6. 如果您要求启用IdP流，Unmind还将为您的SSO提供商中的 “单点登录“ 配置字段提供更新值，以启用IdP流。

测试SSO连接

配置完成后，Unmind将提供一个URL，您可以从该URL测试使用服务提供商启动的SSO登录。

如果您要求启用IdP流，我们也会要求您进行测试。

要想测试成功：

• 新用户：新用户通过SSO登录后，在进入Unmind“今日“页面之前，会被要求同意接收来自Unmind的电子邮件，并提供一些额外的人口统计信息。
• 现有用户：在启用SSO之前已经创建了Unmind账户的现有用户，将进入Unmind“今日“页面。注意——如果使用Employee-ID作为唯一标识符，为安全起见，员工将被要求输入其原来的Unmind密码。员工只有在第一次使用SSO登录时才需要这样做。此后，员工将直接进入Unmind“今日“页面。

如果测试不成功，请向Unmind提供完整的页面截图，以帮助排除故障。

启动SSO

测试成功后，Unmind将与您协调，在Unmind.com子域上启用SSO作为主要登录方法。