Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
Standard SAML (Security Assertion Markup Language) pozwala użytkownikom logować się w firmowych aplikacjach internetowych przy użyciu danych logowania do Google Cloud.
Konfigurowanie logowania jednokrotnego przez SAML w aplikacji Keeper
W tym artykule opisaliśmy konfigurowanie logowania jednokrotnego przez SAML dla aplikacji Keeper.
Krok 1. Skonfiguruj aplikację Keeper jako dostawcę tożsamości SAML 2.0-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu BezpieczeństwoUwierzytelnianieLogowanie jednokrotne w aplikacjach SAML.
Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
- Kliknij Pobierz, aby zapisać metadane dostawcy tożsamości Google.
- Otwórz stronę https://keepersecurity.com/console/#login i zaloguj się.
- Kliknij Advanced Configuration (Konfiguracja zaawansowana), a następnie Show Node Structure (Pokaż strukturę węzłów).
- Włącz Show Node Structure (Pokaż strukturę węzłów).
- Kliknij przycisk +, aby utworzyć węzeł logowania jednokrotnego.
- Wybierz nowo utworzony węzeł.
- Dodaj połączenie logowania jednokrotnego:
Kliknij kartę Bridge/SSO (Most / Logowanie jednokrotne) węzła.
Kliknij link + SSO Connection (Dodaj połączenie logowania jednokrotnego) w sekcji Manage SSO Connect for SSO - Google Workspace (Zarządzanie SSO Connect w zakresie logowania jednokrotnego – Google Workspace). - W tym miejscu musisz skonfigurować 2 parametry: Enterprise Domain (Domena firmy) oraz New User Provisioning (Obsługa administracyjna nowych użytkowników).
- Wpisz saml-sso w polu Enterprise Domain (Domena firmy).
- Wybierz Dynamically provision users upon successful login to SSO (Dynamicznie włączaj obsługę administracyjną użytkowników po udanym logowaniu jednokrotnym) w sekcji New User Provisioning (Obsługa administracyjna nowych użytkowników).
- Kliknij Save (Zapisz), aby zapisać informacje.
- Zainstaluj Keeper SSO Connect.
- Pobierz Keeper SSO Connect w wersji na system operacyjny, z którego korzystasz.
Uwaga: musisz zaktualizować ustawienia zapory sieciowej, aby zezwolić na uzyskiwanie dostępu przez port 8443.
W wierszu polecenia systemu Linux uruchom polecenie sudo ufw allow 8443. - Zainstaluj aplikację Keeper zgodnie z instrukcjami w pliku README.txt.
- Zaloguj się w Keeper SSO Connect.
Podczas pierwszego logowania zostanie wyświetlona prośba o podanie nazwy domeny firmowej SSO Connect z konsoli administracyjnej. Wybierz połączenie z Google Workspace i kliknij Połącz. - Prześlij certyfikat X.509 wymagany do skonfigurowania logowania jednokrotnego (pobrany w podpunkcie 3).
- Kliknij Save (Zapisz), aby zapisać informacje.
- Przejdź do kolejnej sekcji, aby skonfigurować Google jako dostawcę tożsamości SAML.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu Aplikacje Aplikacje internetowe i mobilne.
-
Kliknij Dodaj aplikację Wyszukaj aplikacje.
- W polu wyszukiwania wpisz Keeper.
- Po wyświetleniu wyników wyszukiwania najedź kursorem na aplikację SAML Keeper i kliknij Wybierz.
- Na stronie Informacje o dostawcy tożsamości Google kliknij Dalej.
- Na stronie Informacje o dostawcy usługi edytuj pola Adres URL usługi ACS i Identyfikator jednostki, zastępując fragmenty {host name} (nazwa hosta) i {port} odpowiednimi ustawieniami konta Keeper.
- Kliknij Dalej.
- W sekcji Mapowanie atrybutów kliknij menu Wybierz pole i zmapuj te atrybuty katalogu Google do odpowiednich atrybutów Keeper:
Atrybut katalogu Google Atrybut Keeper Basic Information > First Name First Basic Information > Last Name Last Basic Information > Primary Email Email -
(Opcjonalnie) Aby wpisać nazwy grup odpowiednie dla tej aplikacji:
- W polu Członkostwo w grupie (opcjonalne) kliknij Wyszukaj grupę, wpisz co najmniej jedną literę nazwy grupy i wybierz nazwę grupy.
- W razie potrzeby dodaj kolejne grupy (maksymalnie 75 grup).
- W polu Atrybut aplikacji wpisz odpowiednią nazwę atrybutu grup usługodawcy.
Bez względu na to, ile nazw grup wpiszesz, odpowiedź SAML będzie zawierać tylko grupy, do których należy użytkownik (bezpośrednio lub pośrednio). Więcej informacji znajdziesz w artykule Mapowanie członkostwa w grupie.
- Kliknij Zakończ.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu Aplikacje Aplikacje internetowe i mobilne.
- Wybierz Keeper.
-
Kliknij Dostęp użytkownika.
-
Aby włączyć lub wyłączyć usługę dla wszystkich użytkowników w organizacji, kliknij Włączone dla wszystkich lub Wyłączone dla wszystkich, a następnie Zapisz.
-
(Opcjonalnie) Aby włączyć lub wyłączyć usługę w jednostce organizacyjnej:
- Po lewej stronie wybierz jednostkę organizacyjną.
- Aby zmienić stan usługi, wybierz Wł. lub Wył.
- Wybierz jedną z tych opcji:
- Jeśli stan usługi to Dziedziczone i chcesz zachować zaktualizowane ustawienie, nawet jeśli ustawienie nadrzędne ulegnie zmianie, kliknij Zastąp.
- Jeśli stan usługi to Zastąpione, kliknij Odziedzicz, aby przywrócić to samo ustawienie, co jego ustawienie nadrzędne, lub Zapisz, aby zachować nowe nawet wtedy, gdy ustawienie nadrzędne ulegnie zmianie.
Uwaga: więcej informacji o strukturze organizacyjnej.
-
Aby włączyć usługę dla grupy użytkowników w jednej jednostce organizacyjnej lub wielu, wybierz grupę dostępu. Szczegółowe informacje znajdziesz w artykule na temat włączania usługi dla grupy.
- Upewnij się, że identyfikatory adresów e-mail kont użytkowników Keeper są zgodne z identyfikatorami w domenie Google.
Aplikacja Keeper obsługuje logowanie jednokrotne inicjowane zarówno przez dostawcę tożsamości, jak i przez dostawcę usługi. Aby zweryfikować logowanie jednokrotne w jednym z tych trybów, wykonaj opisane poniżej czynności:
Logowanie jednokrotne inicjowane przez dostawcę tożsamości
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu Aplikacje Aplikacje internetowe i mobilne.
- Wybierz Keeper.
- W lewym górnym rogu kliknij Testuj logowanie SAML.
Aplikacja Keeper powinna się otworzyć w osobnej karcie. Jeśli się tak nie stanie, użyj informacji z komunikatów o błędach aplikacji SAML, aby zaktualizować ustawienia dostawcy tożsamości i dostawcy usługi, a następnie ponownie przetestuj logowanie SAML.
Logowanie jednokrotne inicjowane przez dostawcę usługi
- Zamknij wszystkie okna przeglądarki.
- Otwórz stronę https://nazwa_hosta:port/sso-connect/saml/login i spróbuj się zalogować. Powinno nastąpić automatyczne przekierowanie na stronę logowania przez Google.
- Wpisz swoją nazwę użytkownika i hasło.
Gdy dane logowania zostaną uwierzytelnione, nastąpi automatyczne przekierowanie z powrotem do aplikacji Keeper.
Jako superadministrator możesz skonfigurować obsługę administracyjną użytkowników dla aplikacji Keeper.
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.