Single Sign-On (SSO) umożliwia uczestnikom zalogowanie się do jednego systemu, takiego jak katalog firmowy, a następnie dostęp do wielu aplikacji bez konieczności logowania się do każdej z nich za pomocą oddzielnych poświadczeń. Gdy SSO jest włączone dla Twojej organizacji w Reach 360, nieco inaczej zarządzasz uczestnikami i potencjalnymi grupami. Właściciele kont Reach 360 mogą włączyć logowanie jednokrotne z poziomu interfejsu aplikacji.

Reach 360 używa Security Assertion Markup Language (SAML) do uwierzytelniania uczestników i obsługuje System for Cross-Domain Identity Management (SCIM) w celu zautomatyzowania udostępniania uczestnikom. Możesz użyć SAML samodzielnie lub z SCIM dla dodatkowej automatyzacji.

Uwaga: Nadal możesz dodać uczestników w Reach 360, wykonując czynności wymienione tutaj. Pamiętaj tylko, że uczestnicy dodani w Reach 360 nie są zarządzani przez dostawcę tożsamości (IdP).

Oto, jak jednokrotne logowanie jednokrotne może wpłynąć na to, co robisz na karcie Osoby.

• Zarządzanie uczestnikami uwierzytelnionymi za pomocą SAML
• Zarządzanie grupami za pomocą SAML
• Zarządzanie grupami i uczestnikami programu SCIM
• Słowniczek

Zarządzanie uczestnikami uwierzytelnionymi za pomocą SAML

Jeśli Twoja organizacja korzysta z SAML, uczestnicy zarządzani przez Twojego IdP nie będą wyświetlani na karcie Osoby, dopóki nie zalogują się po raz pierwszy przy użyciu swoich poświadczeń SSO. Nie będziesz mógł modyfikować ich nazw ani zmieniać ani resetować haseł w Reach 360. Ci uczestnicy będą mieli w swoim wpisie ikona identyfikatora.

Wymagane atrybuty dla uczestnika, który ma zostać utworzony w Reach 360, to:

• firstName= imię
• lastName= nazwisko
• email= adres e-mail
• subjectNameIdlub Unique Learner Identifier = dowolny unikalny identyfikator z Twojego IdP

Możesz również wysłać opcjonalne atrybuty:

• avatar= zastępuje zdjęcie profilowe zdefiniowane przez ucznia (musi być przekazane jako adres URL)
• groups= lista grup, do których uczestnik jest przypisany w IdP, które chcesz zsynchronizować z Reach 360.

Aby usunąć uczestnika, musisz najpierw usunąć go z IdP. Po ich usunięciu możesz usunąć ich rekord z zakładki Uczniowie.

Zarządzanie grupami za pomocą SAML

Modyfikacje członkostwa w grupie wprowadzone w Twoim IdP nie są przetwarzane, dopóki uczestnik nie wyloguje się, a następnie zaloguje się ponownie do Reach 360.

W Reach 360 z włączonym logowaniem jednokrotnym nazwy grup muszą być zgodne z atrybutem IdP, w przeciwnym razie zostaną utworzone nowe grupy. Zmień nazwę grupy zarówno w IdP, jak i Reach 360, aby zapobiec przypadkowym zmianom członkostwa w grupie i problemom z rejestracją treści, gdy uczestnicy logują się ponownie do Reach 360.

Aby usunąć grupę połączoną z loginem SSO, należy najpierw usunąć przypisanie grupy z roszczenia. groups Gdy nie będzie już wysyłany do uczestników, możesz usunąć grupę z zakładki Grupy w Reach 360. Jeśli konfiguracja logowania jednokrotnego nie zostanie zaktualizowana, grupa zostanie ponownie aktywowana, gdy uczestnik z tym przypisaniem w IdP zaloguje się za pomocą logowania jednokrotnego.

Zarządzanie grupami i uczestnikami programu SCIM

Jeśli Twoja organizacja używa SCIM oprócz SAML, uczestnicy będą wyświetlani na karcie Osoby po dodaniu ich do Twojego IdP, nawet jeśli nie zalogowali się jeszcze do Reach 360. Podobnie jak w przypadku SAML, nie będziesz mógł modyfikować ich nazw ani zmieniać ani resetować haseł w Reach 360. Ci uczestnicy będą mieli w swoim wpisie ikona identyfikatora.

Uczniowie, którzy zostali zainicjowani przez SCIM, mogą zostać usunięci tylko za pośrednictwem IdP, a nie w Reach 360. Uczniowie, którzy zostali dodani do Reach 360 bez udostępniania, mogą zostać usunięci jak zwykle.

Gdy Twoja organizacja korzysta z protokołu SCIM, możesz także mieć grupy zarządzane przez IDP. Dodawanie i usuwanie członków z tych grup musi odbywać się w Twoim IdP i nie możesz dodawać do nich uczestników niezarządzanych przez IDP w Reach 360.

Wymagane atrybuty dla uczestnika, który ma zostać utworzony w Reach 360 za pośrednictwem SCIM, to:

• name.givenName= imię
• name.familyName= nazwisko
• userName= adres e-mail

Możesz również wysłać opcjonalne atrybuty:

• avatar= zastępuje dowolne zdjęcie profilowe przesłane przez uczestnika (musi być przekazane jako adres URL i ma być wysłane jako atrybut będący częścią) urn:scim:schemas:extension:metadata:2.0:User schema
• externalId= dowolny unikalny identyfikator z Twojego IdP

Uwaga: Interwał komunikacji z Reach 360 jest regulowany przez Twojego IdP. Gdy dane zostaną odebrane przez nasz serwer SCIM, będą one natychmiast dostępne w Reach 360.

Słowniczek

Active Directory (AD)

Active Directory (AD) to produkt firmy Microsoft do zarządzania uczestnikami, uprawnieniami i dostępem do zasobów sieciowych. Wiele organizacji używa AD do zarządzania swoimi zespołami. Nasze rozwiązanie SSO jest kompatybilne z AD, ponieważ oba wspierają komunikację SAML.

Twierdzenie

Asercja to dane wysyłane przez dostawcę tożsamości (IdP), który dostarcza jedno lub więcej z poniższych oświadczeń dostawcy usług (SP).

• Oświadczenia uwierzytelniające deklarują, że uczestnik uwierzytelnił się pomyślnie i rejestrują czas, w którym to zrobił.
• Instrukcje atrybutów zawierają szczegółowe informacje o uczestniku. Na przykład atrybut nameID zapewnia nazwę użytkownika i jest wymagany do uwierzytelnienia. Inne atrybuty można również skonfigurować ręcznie.
• Oświadczenia o decyzji autoryzacyjnej przyznają lub odmawiają uczestnikowi dostępu do zasobu.

Asertion Consumer Service URL (AcsURL)

Adres URL Assertion Consumer Service (Acsurl) to lokalizacja lub zasób HTTPS u dostawcy usług (SP), takiego jak Reach 360, który akceptuje wiadomości SAML od dostawcy tożsamości (IdP).

ID podmiotu

Identyfikator podmiotu to unikalny ciąg liter i cyfr, zwykle w postaci adresu URL, który identyfikuje usługodawcę (SP). Identyfikator podmiotu jest również nazywany identyfikatorem URI odbiorców i często jest to ten sam adres URL, co adres URL Assertion Consumer Service (Acsurl).

Globalnie unikalny identyfikator (GUID)

Globally Unique Identifier (GUID) to ciąg liter, cyfr i myślników, który identyfikuje jednostkę. W kontekście Reach 360 SSO identyfikator GUID odnosi się do identyfikatora subskrypcji Reach 360.

Zarządzanie tożsamością i dostępem (IAM)

Gartner ma świetną definicję zarządzania tożsamością i dostępem (IAM):

Zarządzanie tożsamością i dostępem (IAM) to dyscyplina bezpieczeństwa, która umożliwia właściwym osobom dostęp do odpowiednich zasobów we właściwym czasie z właściwych powodów.

IAM odpowiada na krytyczną potrzebę zapewnienia odpowiedniego dostępu do zasobów w coraz bardziej heterogenicznych środowiskach technologicznych oraz spełnienia coraz bardziej rygorystycznych wymogów zgodności. Ta praktyka bezpieczeństwa jest kluczowym przedsięwzięciem dla każdego przedsiębiorstwa. Jest coraz bardziej dostosowany do biznesu i wymaga umiejętności biznesowych, a nie tylko wiedzy technicznej.

Przedsiębiorstwa, które rozwijają dojrzałe możliwości IAM, mogą obniżyć koszty zarządzania tożsamością i, co ważniejsze, stać się znacznie bardziej elastyczne we wspieraniu nowych inicjatyw biznesowych.

Dostawca tożsamości (IdP)

Dostawca tożsamości (IdP) to usługa, która przechowuje i zarządza katalogiem kont uczestników lub tożsamości cyfrowych. Organizacje wykorzystują IDP, aby zarządzać swoimi uczestnikami i przyznawać dostęp do zasobów sieciowych. Przykłady IdP obejmują Okta, Azure i Ping.

W kontekście logowania jednokrotnego IdP odpowiada na żądania uwierzytelnienia od dostawcy usług (SP), takiego jak Reach 360, w celu podpisania uczestników w usłudze, takiej jak konto Reach 360.

Aprowizacja Just-in-Time (JIT)

Zapewnianie Just-in-Time (JIT) automatycznie tworzy konta użytkowników w rozwiązaniu SSO przy pierwszym uwierzytelnieniu użytkownika za pomocą dostawcy tożsamości (IdP).

Lekki protokół dostępu do katalogów (LDAP)

Okta ładnie podsumowuje Lightweight Directory Access Protocol (LDAP):

Lightweight Directory Access Protocol (LDAP) to protokół internetowy używany przez programy korporacyjne, takie jak poczta e-mail, CRM i oprogramowanie HR do uwierzytelniania dostępu i wyszukiwania informacji z serwera.

Rozwiązanie SSO Reach 360 wykorzystuje integrację SAML zamiast LDAP.

Metadane

Metadane to informacje dostarczane przez dostawcę tożsamości (IdP) dostawcy usług (SP) lub odwrotnie, w formacie XML.

• Metadane SP dostarczają adres URL Assertion Consumer Service (AcsURL), ograniczenie odbiorców, format NameID i certyfikaty x.509 (używane przez IdP do weryfikacji podpisów z SP i szyfrowania żądań SAML do SP od IdP, w razie potrzeby).
• Metadane IdP dostarczają adres URL logowania jednokrotnego, identyfikator podmiotu i certyfikaty x.509 wymagane przez SP do weryfikacji podpisu twierdzenia od IdP i, jeśli wymagane jest szyfrowanie żądań SAML, szyfrowanie wiadomości od SP do IdP.

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe (MFA), zwane również uwierzytelnianiem dwuskładnikowym (2FA), wymaga od uczestników przejścia drugiej warstwy zabezpieczeń podczas logowania się do aplikacji lub systemu. Powszechna forma MSZ prosi uczestników o wprowadzenie kodu weryfikacyjnego, które otrzymują za pośrednictwem wiadomości tekstowej lub aplikacji uwierzytelniającej.

Program MFA nie jest obsługiwany w Reach 360. Zalecamy włączenie MFA za pośrednictwem IdP, aby uzyskać dodatkową warstwę bezpieczeństwa.

OAuth

OAuth, czyli Open Authorization, to standard zapewniający uczestnikom dostęp do aplikacji innych firm bez ujawniania ich haseł. Rozwiązanie SSO Reach 360 nie obejmuje OAuth.

OpenAM

OpenAM to system zarządzania dostępem typu open source używany przez niektóre organizacje do świadczenia usług SSO swoim uczestnikom. Usługa SSO Reach 360 jest kompatybilna z OpenAM, ponieważ obie obsługują komunikację SAML.

Język znaczników zapewniania bezpieczeństwa (SAML)

Security Assertion Markup Language (SAML) to otwarty, oparty na języku XML standard wymiany danych uwierzytelniających między dostawcą tożsamości (IdP) a dostawcą usług (SP), takim jak Reach 360.

Nasze rozwiązanie SSO wykorzystuje SAML 2.0 do uwierzytelniania uczestników w Reach 360 na podstawie tożsamości ich firmy, dzięki czemu uczestnicy nie muszą zarządzać oddzielnym zestawem poświadczeń dla Reach 360.

Pojedyncze logowanie (SSO)

Logowanie jednokrotne (SSO) umożliwia uczestnikom zalogowanie się do jednego systemu, takiego jak katalog firmowy, a następnie dostęp do wielu aplikacji bez logowania się do każdej z nich za pomocą oddzielnych poświadczeń. SSO zwiększa produktywność i pozwala organizacjom egzekwować własne wymagania bezpieczeństwa haseł.

Usługodawca (SP)

Dostawca usług (SP) to firma oferująca usługi, takie jak hosting treści. SP komunikuje się z dostawcą tożsamości (IdP) w celu podpisania uczestników w usłudze. Reach 360 to SP w tym kontekście.

System zarządzania tożsamością między domenami (SCIM)

SCIM to otwarty standard automatyzacji udostępniania i deprowizacji uczestników. Na przykład firma może użyć SCIM, aby automatycznie dodać swoich uczestników do subskrypcyjnej usługi w chmurze i zsynchronizować profile swojej firmy z usługą w chmurze.