SAML-konfiguration
Den här guiden går igenom hur du konfigurerar SAML 2.0 Single Sign-On (SSO) med Cosafe.
Förutsättningar
- Användarna måste finnas i Cosafe innan de kan logga in via SSO. Skapa användare manuellt eller konfigurera SCIM-provisionering först.
- Du behöver åtkomst till administratörskonsolen för din identitetsleverantör (IdP).
- Du behöver åtkomst till Cosafes adminpanel.
Steg 1: Importera Cosafes SP-metadata till din IdP
Cosafe tillhandahåller en metadataslutpunkt för Service Provider (SP) som din IdP kan importera direkt. Detta konfigurerar automatiskt Entity ID, ACS URL och signeringscertifikat.
Använd metadata-URL:en för din region:
| Region | SP Metadata-URL |
|---|---|
| Europa | https://api.se-sto.prod.cosafe.com/core/saml/sp |
| Sydamerika | https://api.sa-east-1.prod.cosafe.com/core/saml/sp |
De flesta IdP:er låter dig importera metadata via URL. Om din IdP kräver manuell konfiguration är nyckelvärdena:
| Fält | Europa | Sydamerika |
|---|---|---|
| Entity ID | https://api.se-sto.prod.cosafe.com/core/saml/sp (samma som metadata-URL) | https://api.sa-east-1.prod.cosafe.com/core/saml/sp (samma som metadata-URL) |
| ACS URL | https://api.se-sto.prod.cosafe.com/core/saml/acs | https://api.sa-east-1.prod.cosafe.com/core/saml/acs |
Steg 2: Konfigurera din IdP
NameID
Konfigurera din IdP att skicka användarens e-postadress som NameID:
- NameID-format:
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress - NameID-värde: Användarens e-postadress
Detta är det enda attribut Cosafe kräver. Inga ytterligare SAML-attribut behöver konfigureras.
Signering av assertion
Din IdP måste signera SAML-assertion. Om din IdP har separata inställningar för signering av response och assertion, se till att assertion signeras. Cosafe kräver SHA-256 som signaturalgoritm.
Steg 3: Konfigurera Cosafes adminpanel
- Gå till sidan Konto.
- Klicka på fliken Integrationer.
- Välj Autentiseringsmetod (SAML) från rullgardinsmenyn.
- Ange din IdP-metadata-URL — Cosafe hämtar automatiskt IdP:ns signeringscertifikat, SSO-slutpunkt och Entity ID från denna URL.
- Lägg till domäner — ange e-postdomänerna för de användare som ska använda SSO. E-postdomänen i SAML NameID måste matcha en konfigurerad domän.
- För att lägga till flera domäner, klicka på Lägg till domän och ange varje domän.
- Spara dina inställningar.
Steg 4: Testa anslutningen
- Öppna ett inkognito-/privat webbläsarfönster.
- Navigera till Cosafes inloggningssida.
- Ange e-postadressen för en testanvändare vars domän är konfigurerad för SSO.
- Du bör omdirigeras till din IdP för autentisering.
- Efter autentisering bör du omdirigeras tillbaka till Cosafe och loggas in.
Om testet misslyckas, kontrollera att:
- Användaren finns i Cosafe med en e-postadress som matchar en konfigurerad domän.
- Din IdP skickar e-postadressen som NameID.
- IdP-metadata-URL:en är åtkomlig och korrekt.
När SSO används delegerar Cosafe allt autentiseringsansvar till din identitetsleverantör. Cosafe upprätthåller ingen egen 2FA för SSO-inloggningar.
Säkerställ att Multi-Factor Authentication (MFA) är aktiverat och påtvingat i din IdP för alla användare som har åtkomst till Cosafe. Detta är den enskilt mest effektiva åtgärden du kan vidta för att skydda din organisations konton.
För mer information, se vår introduktionssida om SSO.