This translation has not been approved yet, read in English to be sure you get an accurate article.
SAML-määritys
Tämä opas opastaa sinut SAML 2.0 Single Sign-On (SSO) -kirjautumisen määrittämisessä Cosafen kanssa.
Edellytykset
- Käyttäjien on oltava olemassa Cosafessa ennen kuin he voivat kirjautua sisään SSO:n kautta. Luo käyttäjät manuaalisesti tai määritä SCIM-käyttäjäprovisiointi ensin.
- Tarvitset pääsyn Identity Providerin (IdP) hallintakonsoliin.
- Tarvitset pääsyn Cosafen hallintapaneeliin.
Vaihe 1: Tuo Cosafen SP-metatiedot IdP:hen
Cosafe tarjoaa Service Provider (SP) -metatietopäätepisteen, jonka IdP voi tuoda suoraan. Tämä määrittää automaattisesti Entity ID:n, ACS URL:n ja allekirjoitusvarmenteen.
Käytä alueesi metatieto-URL-osoitetta:
| Alue | SP-metatieto-URL |
|---|---|
| Eurooppa | https://api.se-sto.prod.cosafe.com/core/saml/sp |
| Etelä-Amerikka | https://api.sa-east-1.prod.cosafe.com/core/saml/sp |
Useimmat IdP:t mahdollistavat metatietojen tuonnin URL-osoitteen kautta. Jos IdP:si vaatii manuaalista määritystä, keskeiset arvot ovat:
| Kenttä | Eurooppa | Etelä-Amerikka |
|---|---|---|
| Entity ID | https://api.se-sto.prod.cosafe.com/core/saml/sp (sama kuin metatieto-URL) | https://api.sa-east-1.prod.cosafe.com/core/saml/sp (sama kuin metatieto-URL) |
| ACS URL | https://api.se-sto.prod.cosafe.com/core/saml/acs | https://api.sa-east-1.prod.cosafe.com/core/saml/acs |
Vaihe 2: Määritä IdP
NameID
Määritä IdP lähettämään pysyvä tunniste NameID:nä:
- NameID-muoto:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - NameID-arvo: läpinäkymätön, vakaa tunniste IdP:stä (esimerkiksi Microsoft Entra ID:n
objectId/ "Object identifier"). Tarkka attribuutin nimi vaihtelee IdP:n mukaan; vaatimuksena on, että arvo on yksilöllinen jokaiselle käyttäjälle, sitä ei koskaan uudelleenkäytetä eikä se muutu, kun käyttäjä nimetään uudelleen tai hänen sähköpostinsa muuttuu.
Vaadittu SAML-attribuutti
Cosafe tarvitsee käyttäjän sähköpostin verkkotunnusten täsmäytykseen, ilmoituksiin ja tilin näyttämiseen. Määritä IdP lähettämään se SAML-attribuuttina:
| Attribuutin nimi | Arvo |
|---|---|
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Käyttäjän sähköpostiosoite |
Vahvistuksen allekirjoitus
IdP:n on allekirjoitettava SAML-vahvistus. Jos IdP:llä on erilliset asetukset vastauksen ja vahvistuksen allekirjoittamiseen, varmista, että vahvistus allekirjoitetaan. Cosafe vaatii SHA-256:n allekirjoitusalgoritmiksi.
Vaihe 3: Määritä Cosafen hallintapaneeli
- Siirry Account-sivulle.
- Napsauta Integration-välilehteä.
- Valitse pudotusvalikosta Sign-On provider (SAML).
- Anna IdP-metatieto-URL — Cosafe noutaa automaattisesti IdP:n allekirjoitusvarmenteen, SSO-päätepisteen ja Entity ID:n tästä URL-osoitteesta.
- Lisää verkkotunnukset — määritä niiden käyttäjien sähköpostiverkkotunnukset, jotka käyttävät SSO:ta. Käyttäjän sähköpostin (SAMLin emailaddress-attribuutista) on vastattava määritettyä verkkotunnusta.
- Jos haluat lisätä useita verkkotunnuksia, napsauta +Add domain ja syötä jokainen verkkotunnus.
- Tallenna asetuksesi.
Vaihe 4: Testaa yhteys
- Avaa incognito-/yksityinen selainikkuna.
- Siirry Cosafen kirjautumissivulle.
- Syötä testikäyttäjän sähköpostiosoite, jonka verkkotunnus on määritetty SSO:lle.
- Sinut tulisi ohjata IdP:hen todennusta varten.
- Todennuksen jälkeen sinut tulisi ohjata takaisin Cosafeen ja kirjata sisään.
Jos testi epäonnistuu, varmista että:
- Käyttäjä on olemassa Cosafessa sähköpostilla, joka vastaa määritettyä verkkotunnusta.
- IdP lähettää pysyvän NameID-muodon ja
emailaddressSAML-attribuutin (katso kanoninen attribuutin nimi vaiheesta 2). - IdP-metatieto-URL on saatavilla ja oikea.
SSO:ta käytettäessä Cosafe delegoi kaiken todennusvastuun Identity Providerillesi. Cosafe ei pakota omaa 2FA:taan SSO-kirjautumisille.
Varmista, että monivaiheinen todennus (MFA) on otettu käyttöön ja pakotettu IdP:ssäsi kaikille Cosafea käyttäville käyttäjille. Tämä on yksittäinen tehokkain toimenpide, jonka voit tehdä organisaatiosi tilien suojaamiseksi.
Lisätietoja on SSO-johdantosivullamme.