设置SAML身份验证

Trakstar可以通过SAML与大多数单一登录提供程序集成。

SAML（安全断言标记语言）是一种开放标准格式，用于在身份提供商（您的组织）之间交换身份验证和授权数据’的SAML提供商）和服务提供商（Trakstar）。 Trakstar可以与任何SAML 2.0身份提供商集成，以实现无缝的登录体验。用户通过贵组织的身份提供商进行身份验证后，将获得一键式访问Trakstar的权限-简单，安全和快速。

单一登录是Trakstar的高级功能。 如果您想将此功能添加到您组织的帐户中，请通过以下方式与我们联系 [email protected].

点击这里 有关如何与特定提供商设置Trakstar的说明。

 

在Trakstar中设置SAML身份验证有四个步骤：

1. 在您的组织中为Trakstar创建SAML端点’s identity provider
2. 在Trakstar中配置SAML
3. 测试配置
4. 对所有用户启用SAML身份验证

 

1.为Trakstar创建SAML 2.0端点

 

为了在身份提供者中为Trakstar设置端点，您需要’我需要Trakstar提供以下信息。访问设置> Authentication & SSO, and find:

 

ACS（消费者）URL

Trakstar中您组织的唯一URL，应在其中发送SAML响应。

 

发行人 (Optional)

默认为 //app.lotsoland.com/。如果您的SAML提供程序要求使用其他发行者，并且应匹配输入到您的SAML提供程序中的Audience属性（如果有），则可以更改此设置。

 

将以上信息输入您的身份提供者中，以创建Trakstar的终结点。提供商之间的创建端点的方法大不相同，我们很快将为普通提供商提供更具体的设置说明。

 

2.在Trakstar中配置SAML

 

 

 

Trakstar要求您的身份提供商提供以下信息来设置SAML：

 

IdP SSO目标网址

您组织的网址’的身份提供者发送SAML请求。

例子：

• //myorganization.onelogin.com/trust/saml2/http-post/sso/813196
• //app.onelogin.com/trust/saml2/http-post/sso/813197
• //accounts.google.com/o/saml2/idp?idpid=X19padnba

 

IdP证书（指纹或完整证书）

如果可能，请复制用于签署SAML响应的完整公共身份提供者证书，然后输入Trakstar。另外，Trakstar支持使用证书的SHA-1指纹。您只需要提供完整的证书 要么  指纹，而不是两者兼有。

证书应采用PEM格式，从 - - -开始.

证书指纹不区分大小写，可以选择包含冒号。

例子：

• 95：68：CE：1E：7D：17：53：C5：FF：FD：8D：51：A0：D3：57：71：0F：A9：CC：05
• 95：68：ce：1e：7d：17：53：c5：ff：fd：8d：51：a0：d3：57：71：0f：a9：cc：05
• 9568ce1e7d1753c5fffd8d51a0d357710fa9cc05

 

将以上信息输入Trakstar，然后继续下一步。

 

 

 

3.测试配置

按照说明在Trakstar中测试配置，在单独的浏览器或隐身窗口中打开提供的URL，以便’不受您当前与我们的应用程序会话的影响。

如果登录失败，则可以单击“显示失败的身份验证尝试”从“身份验证设置”页面中查看更多详细的错误消息。

 

 

 

以下是解决SAML常见问题的一些提示：

 

CertificateError

您的身份提供商用于签署SAML响应的证书没有’与进入Trakstar的那辆匹配。仔细检查您是否正确输入了证书，寻找：

• BEGIN之前或END块之后的多余行
• 行尾的空格
• 正确的证书。某些提供程序（例如ADFS）将多个证书用于不同的目的。确保你’重新使用[b]用来签署SAML响应的密码。

 

指纹不匹配

您的身份提供商使用的证书的SHA-1指纹没有’与进入Trakstar的那辆匹配。仔细检查您是否正确输入了指纹，寻找：

• 不同类型的指纹。 Trakstar需要SHA-1指纹，它是一个40个字符的十六进制字符串。
• 错误证书的指纹。某些提供程序（例如ADFS）将多个证书用于不同的目的。确保你’重新使用[b]用来签署SAML响应的密码。

 

“X”不是此回应的有效受众

仔细检查“Audience”您的身份提供商中SAML端点的匹配“Issuer” within Trakstar.

 

用户尚未添加到Trakstar

自动配置用户可能导致同一用户拥有多个帐户，或者您的用户无法访问正确的信息–两者都可能难以纠正。由于这些原因，Trakstar仅对已经添加到应用程序中的用户进行身份验证，而不会自动为新用户创建帐户。用户可以 手动添加 对于较小的组织，或使用 HRIS同步，以便更轻松地批量管理用户。

如果用户成功通过您选择的登录策略进行了身份验证，但是使用了该用户名的帐户（也就是“login”）找不到，他们会收到一个“用户尚未添加到Trakstar” error.

 

4.对所有用户启用SAML身份验证

一旦充分测试了通过SAML登录的能力，就可以通过选择SAML作为启用的身份验证类型来为组织中的所有用户启用它。

 

 

 

启用S​​AML作为用户身份验证的方式后，’会注意到Trakstar中的以下更改：

• 不能在Trakstar中设置密码
• 从您的身份提供商访问Trakstar的用户将登录到该应用程序。
• 如果他们的会话期满，或者如果他们输入您的公司名称（如果已经通过您的身份提供商进行了身份验证并直接登录），则从我们的主登录页面访问Trakstar的用户将被重定向到您的身份提供商。
• 通过Trakstar生成的电子邮件中的链接访问Trakstar的用户将被重定向到您的身份提供者（并已登录（如果已经通过您的身份提供者进行了身份验证））