设置SAML身份验证

← All 文章s

Trakstar可以通过SAML与大多数单一登录提供程序集成。

SAML(安全断言标记语言)是一种开放标准格式,用于在身份提供商(您的组织)之间交换身份验证和授权数据’的SAML提供商)和服务提供商(Trakstar)。 Trakstar可以与任何SAML 2.0身份提供商集成,以实现无缝的登录体验。用户通过贵组织的身份提供商进行身份验证后,将获得一键式访问Trakstar的权限-简单,安全和快速。

单一登录是Trakstar的高级功能。 如果您想将此功能添加到您组织的帐户中,请通过以下方式与我们联系 [email protected].

点击这里 有关如何与特定提供商设置Trakstar的说明。

 

在Trakstar中设置SAML身份验证有四个步骤:

  1. 在您的组织中为Trakstar创建SAML端点’s identity provider
  2. 在Trakstar中配置SAML
  3. 测试配置
  4. 对所有用户启用SAML身份验证

 

1.为Trakstar创建SAML 2.0端点

 

为了在身份提供者中为Trakstar设置端点,您需要’我需要Trakstar提供以下信息。访问设置> Authentication & SSO, and find:

 

ACS(消费者)URL

Trakstar中您组织的唯一URL,应在其中发送SAML响应。

 

发行人 (Optional)

默认为 //app.lotsoland.com/。如果您的SAML提供程序要求使用其他发行者,并且应匹配输入到您的SAML提供程序中的Audience属性(如果有),则可以更改此设置。

 

将以上信息输入您的身份提供者中,以创建Trakstar的终结点。提供商之间的创建端点的方法大不相同,我们很快将为普通提供商提供更具体的设置说明。

 

2.在Trakstar中配置SAML

 

 

 

Trakstar要求您的身份提供商提供以下信息来设置SAML:

 

IdP SSO目标网址

您组织的网址’的身份提供者发送SAML请求。

例子:

  • //myorganization.onelogin.com/trust/saml2/http-post/sso/813196
  • //app.onelogin.com/trust/saml2/http-post/sso/813197
  • //accounts.google.com/o/saml2/idp?idpid=X19padnba

 

IdP证书(指纹或完整证书)

如果可能,请复制用于签署SAML响应的完整公共身份提供者证书,然后输入Trakstar。另外,Trakstar支持使用证书的SHA-1指纹。您只需要提供完整的证书 要么  指纹,而不是两者兼有。

证书应采用PEM格式,从 - - -开始.

证书指纹不区分大小写,可以选择包含冒号。

例子:

  • 95:68:CE:1E:7D:17:53:C5:FF:FD:8D:51:A0:D3:57:71:0F:A9:CC:05
  • 95:68:ce:1e:7d:17:53:c5:ff:fd:8d:51:a0:d3:57:71:0f:a9:cc:05
  • 9568ce1e7d1753c5fffd8d51a0d357710fa9cc05

 

将以上信息输入Trakstar,然后继续下一步。

 

 

 

3.测试配置

按照说明在Trakstar中测试配置,在单独的浏览器或隐身窗口中打开提供的URL,以便’不受您当前与我们的应用程序会话的影响。

如果登录失败,则可以单击“显示失败的身份验证尝试”从“身份验证设置”页面中查看更多详细的错误消息。

 

 

 

以下是解决SAML常见问题的一些提示:

 

CertificateError

您的身份提供商用于签署SAML响应的证书没有’与进入Trakstar的那辆匹配。仔细检查您是否正确输入了证书,寻找:

  • BEGIN之前或END块之后的多余行
  • 行尾的空格
  • 正确的证书。某些提供程序(例如ADFS)将多个证书用于不同的目的。确保你’重新使用[b]用来签署SAML响应的密码。

 

指纹不匹配

您的身份提供商使用的证书的SHA-1指纹没有’与进入Trakstar的那辆匹配。仔细检查您是否正确输入了指纹,寻找:

  • 不同类型的指纹。 Trakstar需要SHA-1指纹,它是一个40个字符的十六进制字符串。
  • 错误证书的指纹。某些提供程序(例如ADFS)将多个证书用于不同的目的。确保你’重新使用[b]用来签署SAML响应的密码。

 

“X”不是此回应的有效受众

仔细检查“Audience”您的身份提供商中SAML端点的匹配“Issuer” within Trakstar.

 

用户尚未添加到Trakstar

自动配置用户可能导致同一用户拥有多个帐户,或者您的用户无法访问正确的信息–两者都可能难以纠正。由于这些原因,Trakstar仅对已经添加到应用程序中的用户进行身份验证,而不会自动为新用户创建帐户。用户可以 手动添加 对于较小的组织,或使用 HRIS同步,以便更轻松地批量管理用户。

如果用户成功通过您选择的登录策略进行了身份验证,但是使用了该用户名的帐户(也就是“login”)找不到,他们会收到一个“用户尚未添加到Trakstar” error.

 

4.对所有用户启用SAML身份验证

一旦充分测试了通过SAML登录的能力,就可以通过选择SAML作为启用的身份验证类型来为组织中的所有用户启用它。

 

 

 

启用S​​AML作为用户身份验证的方式后,’会注意到Trakstar中的以下更改:

  • 不能在Trakstar中设置密码
  • 从您的身份提供商访问Trakstar的用户将登录到该应用程序。
  • 如果他们的会话期满,或者如果他们输入您的公司名称(如果已经通过您的身份提供商进行了身份验证并直接登录),则从我们的主登录页面访问Trakstar的用户将被重定向到您的身份提供商。
  • 通过Trakstar生成的电子邮件中的链接访问Trakstar的用户将被重定向到您的身份提供者(并已登录(如果已经通过您的身份提供者进行了身份验证))

您也可以致电给我们 1(877)489-5651