Truy cập
Quyền truy cập ArchiBot Chat và SSO
Gửi chi tiết nhà cung cấp danh tính của bạn ở bước Single sign-on để ISM có thể cấu hình đăng nhập cho tổ chức.
Cập nhật lần cuối
Bước Single sign-on là nơi quản trị viên khách hàng cung cấp cho ISM các chi tiết không phải bí mật cần thiết để kết nối nhà cung cấp danh tính (IdP) của bạn với ArchiBot Chat và Console. Bạn gửi metadata, ánh xạ claim và nhóm vai trò; ISM hoàn tất việc trao đổi bí mật thông qua một kênh được phê duyệt và xác nhận khi đăng nhập đã sẵn sàng để kiểm thử.
Hướng dẫn này bao gồm biểu mẫu tại route /account/sso. Nó không cấp hay thay đổi quyền truy cập sản phẩm cá nhân. Để biết cách các cổng sản phẩm và thanh toán quyết định người dùng đã đăng nhập có thể mở gì, xem Thiết lập ArchiBot Chat và Thanh toán và credits của ArchiBot Chat.
Trước khi bắt đầu
- Bạn phải là quản trị viên khách hàng để gửi thiết lập SSO.
- Hãy chuẩn bị quản trị viên IdP của bạn, hoặc tự làm quản trị viên IdP, để bạn có thể đọc metadata ứng dụng.
- Biết người dùng của bạn đăng nhập bằng những miền email nào.
- Quyết định giao thức bạn sẽ dùng: OIDC hoặc SAML.
Các nhóm nhỏ không bắt buộc phải dùng SSO. Bước này là tùy chọn, và bạn có thể tiếp tục dùng lời mời qua email cho đến khi sẵn sàng kết nối IdP. Chỉ gửi chi tiết SSO khi bạn dự định kết nối một nhà cung cấp.
Mở bước Single sign-on
- Mở Console và đi tới Account Setup.
- Trong thanh điều hướng Account Setup, chọn Single sign-on.
- Đọc banner gửi an toàn ở đầu bước. Đây là lời nhắc rằng biểu mẫu này chỉ nhận metadata không phải bí mật.

Phần đầu bước hiển thị trạng thái của nó (Chưa bắt đầu, Đang thực hiện, Cần xem xét, hoặc Sẵn sàng) và, với các tài khoản tự phục vụ, một nhãn Tùy chọn.
Chọn loại IdP và miền đăng nhập
- Đặt IdP type thành một trong các lựa chọn:
- OIDC cho các nhà cung cấp OpenID Connect.
- SAML cho các nhà cung cấp SAML 2.0.
- No SSO yet (use invite emails) nếu bạn chưa sẵn sàng kết nối nhà cung cấp.
- Trong Login domains, nhập danh sách các miền email người dùng của bạn đăng nhập, phân tách bằng dấu phẩy, ví dụ
example.com, example.co. Nếu Console đã biết các miền cho tài khoản của bạn, bạn có thể chọn một miền từ danh sách tra cứu để thêm vào.
Việc thay đổi loại IdP hoặc miền sẽ xóa mọi kết quả xác minh metadata trước đó, vì vậy hãy xác minh lại sau khi điều chỉnh.
Trỏ Console tới metadata của nhà cung cấp
Hàng Discovery / metadata URL giúp bạn tìm và xác nhận đúng URL metadata.
- Chọn nhà cung cấp của bạn từ danh sách dựng sẵn. Các preset bao gồm Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin, và Other provider. Mỗi preset hiển thị gợi ý host mà nó mong đợi, chẳng hạn tenant ID hoặc
company.okta.com. - Chọn Use provider URL để điền vào trường metadata bằng một URL discovery được gợi ý, xây dựng từ nhà cung cấp và miền của bạn. Nếu chưa thể dựng được gợi ý, Console sẽ cho bạn biết cần nhập gì trước (một miền đăng nhập hoặc giá trị tenant).
- Chọn Open provider console để mở console quản trị của nhà cung cấp trong một tab mới.
- Một số preset thêm các nút chuyển giao thiết lập dành riêng cho nhà cung cấp (ví dụ mở màn hình đăng ký ứng dụng hoặc claims). Dùng các nút này để chuyển thẳng tới màn hình nơi bạn tạo hoặc kiểm tra ứng dụng IdP.
- Nếu bạn đã có chính xác URL metadata, hãy nhập hoặc dán vào trường metadata, ví dụ
https://idp.example.com/.well-known/openid-configuration.
Console chỉ dựng gợi ý và liên kết từ các lựa chọn của bạn. Nó không đọc hoặc lưu bí mật.
Xác minh metadata
- Chọn Verify metadata. Console truy cập URL metadata của nhà cung cấp và kiểm tra các trường mong đợi. Nút sẽ hiển thị Verifying… trong khi đang chạy.
- Đọc bảng kết quả bên dưới trường:
- Metadata verified nghĩa là Console đã truy cập được nhà cung cấp và tìm thấy các trường mong đợi. Nó hiển thị issuer hoặc entity ID đã phát hiện để bạn xác nhận khớp với nhà cung cấp của mình.
- Metadata needs attention nghĩa là Console không thể xác minh metadata. Kiểm tra lại URL, miền và giao thức, rồi thử lại.
Xác minh là chỉ đọc. Nó xác nhận URL truy cập được và đúng định dạng; nó không hoàn tất kết nối.
Ánh xạ claim và nhóm vai trò
ISM dùng các giá trị này để ánh xạ người dùng đã đăng nhập tới đúng danh tính và vai trò. Mỗi trường chấp nhận các giá trị phổ biến từ danh sách chọn nhanh hoặc giá trị do bạn tự nhập.
| Field | What it is | Example |
|---|---|---|
| Provider app reference | Mã ứng dụng, client, hoặc enterprise application không phải bí mật từ nhà cung cấp của bạn | 00000000-0000-0000-0000-000000000000 |
| Username claim | Claim chứa tên người dùng | preferred_username |
| Email claim | Claim chứa địa chỉ email | email |
| Groups claim | Claim chứa thông tin thành viên nhóm hoặc vai trò | groups |
| Admin group name | Nhóm mà các thành viên của nó sẽ trở thành quản trị viên ArchiBot | archibot-admins |
| Member group name | Nhóm mà các thành viên của nó sẽ trở thành thành viên tiêu chuẩn | archibot-users |
| Test admin email | Tài khoản quản trị mà ISM có thể dùng để kiểm thử đăng nhập | admin-test@example.com |
| Test member email | Tài khoản thành viên mà ISM có thể dùng để kiểm thử đăng nhập | member-test@example.com |
Provider app reference chỉ là một định danh không phải bí mật. Nó giúp ISM liên kết các ghi chú bàn giao từ Console với đúng ứng dụng IdP. Không nhập client secret vào đây.
Đọc bảng SSO readiness
Bên dưới các trường, bảng SSO readiness tóm tắt mức độ hoàn chỉnh của bản gửi, với nhãn ready/total. Mỗi ô chuyển sang sẵn sàng khi bạn điền chi tiết tương ứng:
- Login domains — đã đặt ít nhất một miền đăng nhập.
- Metadata verification — có URL metadata và đã được xác minh.
- Provider application — đã cung cấp provider app reference.
- Claim mapping — đã ánh xạ claim username và email.
- Role groups — đã đặt tên nhóm admin và member.
- Callbacks — đã tính đến thiết lập callback phía nhà cung cấp.
- Test users — đã cung cấp ít nhất một tài khoản kiểm thử.
Bạn không cần đạt mọi mục trước khi gửi, nhưng bảng tổng quan readiness đầy đủ hơn sẽ giúp ISM hoàn tất nhanh hơn.
Gửi thiết lập SSO của bạn
- Nếu bạn cần phương án dự phòng bằng mật khẩu tạm thời cho một người dùng được phê duyệt nhưng chưa thể hoàn tất MFA trên thiết bị, hãy đặt tùy chọn Password fallback để yêu cầu nó. Tùy chọn này chỉ có khi password fallback được bật cho tài khoản của bạn, và ISM phải phê duyệt rồi bật chính sách trước khi nó thay đổi hành vi đăng nhập.
- Thêm bất kỳ thông tin nào ISM nên biết vào SSO notes, chẳng hạn cửa sổ bảo trì hoặc một điểm bất thường của nhà cung cấp.
- Chọn Submit SSO setup.
Console xác nhận việc gửi và cho bạn biết ISM sẽ liên hệ lại khi cấu hình sẵn sàng để kiểm thử. ISM hoàn tất kết nối và trao đổi mọi bí mật qua một kênh được phê duyệt, không bao giờ qua biểu mẫu này.
Nếu IdP của bạn cũng cần cấp phát vòng đời SCIM, hãy yêu cầu ISM đưa điều đó vào bàn giao cho người vận hành. Console có thể ghi lại một tham chiếu token SCIM không phải bí mật, nhưng bearer token thực tế được cấu hình thông qua kho lưu trữ bí mật do triển khai sở hữu.
Những gì không nên nhập vào biểu mẫu này
Bước Single sign-on chỉ nhận metadata OIDC hoặc SAML không phải bí mật và các tham chiếu SCIM không phải bí mật. Không dán:
- Client secret hoặc khóa ký.
- Khóa riêng tư hoặc chứng chỉ có chứa vật liệu riêng tư.
- Cookie, session token, hoặc invite token.
- Mật khẩu.
Nếu ISM cần một bí mật để hoàn tất kết nối, họ sẽ yêu cầu qua một kênh được phê duyệt.
Sau khi bạn gửi
- ISM xem xét bản gửi của bạn và liên hệ để xác nhận hoặc đặt câu hỏi tiếp theo.
- Khi kết nối đã hoạt động, người dùng của bạn đăng nhập qua tổ chức của bạn trên URL ArchiBot Chat.
- Đăng nhập thành công không giống với việc một sản phẩm đã được bật. Các cổng sản phẩm và thanh toán vẫn quyết định mỗi người dùng có thể mở gì. Xem Thiết lập ArchiBot Chat.
Hướng dẫn liên quan
- Thiết lập quản trị viên khách hàng
- Thiết lập ArchiBot Chat
- Bắt đầu với ArchiBot Chat
- Khắc phục sự cố ArchiBot Chat
- Vai trò truy cập
Hoàn tất khi
- Bạn có thể mở bước Single sign-on trong Account Setup.
- Xác minh metadata trả về kết quả đã xác minh.
- SSO readiness hiển thị các mục bạn quan tâm ở trạng thái sẵn sàng.
- Thiết lập SSO của bạn được gửi đến ISM mà không có bất kỳ bí mật nào.