Tài liệu sản phẩm

Bản dịch này được tạo tự động (beta). Hướng dẫn tiếng Anh là bản gốc có giá trị tham chiếu.

Truy cập

Quyền truy cập ArchiBot Chat và SSO

Gửi chi tiết nhà cung cấp danh tính của bạn ở bước Single sign-on để ISM có thể cấu hình đăng nhập cho tổ chức.

Quản trị viên khách hàngNgười vận hành nền tảng

Cập nhật lần cuối

Bước Single sign-on của Console với loại IdP, miền đăng nhập, URL metadata discovery, ánh xạ claim, nhóm vai trò và bảng SSO readiness.
Ví dụ do Console hiển thị với dữ liệu an toàn: bước Single sign-on thu thập chi tiết OIDC hoặc SAML không phải bí mật để ISM có thể ánh xạ quyền truy cập của tổ chức. Không bao giờ dán client secret hoặc khóa ký.

Bước Single sign-on là nơi quản trị viên khách hàng cung cấp cho ISM các chi tiết không phải bí mật cần thiết để kết nối nhà cung cấp danh tính (IdP) của bạn với ArchiBot ChatConsole. Bạn gửi metadata, ánh xạ claim và nhóm vai trò; ISM hoàn tất việc trao đổi bí mật thông qua một kênh được phê duyệt và xác nhận khi đăng nhập đã sẵn sàng để kiểm thử.

Hướng dẫn này bao gồm biểu mẫu tại route /account/sso. Nó không cấp hay thay đổi quyền truy cập sản phẩm cá nhân. Để biết cách các cổng sản phẩm và thanh toán quyết định người dùng đã đăng nhập có thể mở gì, xem Thiết lập ArchiBot ChatThanh toán và credits của ArchiBot Chat.

Trước khi bắt đầu

  • Bạn phải là quản trị viên khách hàng để gửi thiết lập SSO.
  • Hãy chuẩn bị quản trị viên IdP của bạn, hoặc tự làm quản trị viên IdP, để bạn có thể đọc metadata ứng dụng.
  • Biết người dùng của bạn đăng nhập bằng những miền email nào.
  • Quyết định giao thức bạn sẽ dùng: OIDC hoặc SAML.

Các nhóm nhỏ không bắt buộc phải dùng SSO. Bước này là tùy chọn, và bạn có thể tiếp tục dùng lời mời qua email cho đến khi sẵn sàng kết nối IdP. Chỉ gửi chi tiết SSO khi bạn dự định kết nối một nhà cung cấp.

Mở bước Single sign-on

  1. Mở Console và đi tới Account Setup.
  2. Trong thanh điều hướng Account Setup, chọn Single sign-on.
  3. Đọc banner gửi an toàn ở đầu bước. Đây là lời nhắc rằng biểu mẫu này chỉ nhận metadata không phải bí mật.

Tiêu đề bước Single sign-on của Console với bộ chọn loại IdP, miền đăng nhập và hàng URL metadata discovery.

Phần đầu bước hiển thị trạng thái của nó (Chưa bắt đầu, Đang thực hiện, Cần xem xét, hoặc Sẵn sàng) và, với các tài khoản tự phục vụ, một nhãn Tùy chọn.

Chọn loại IdP và miền đăng nhập

  1. Đặt IdP type thành một trong các lựa chọn:
    • OIDC cho các nhà cung cấp OpenID Connect.
    • SAML cho các nhà cung cấp SAML 2.0.
    • No SSO yet (use invite emails) nếu bạn chưa sẵn sàng kết nối nhà cung cấp.
  2. Trong Login domains, nhập danh sách các miền email người dùng của bạn đăng nhập, phân tách bằng dấu phẩy, ví dụ example.com, example.co. Nếu Console đã biết các miền cho tài khoản của bạn, bạn có thể chọn một miền từ danh sách tra cứu để thêm vào.

Việc thay đổi loại IdP hoặc miền sẽ xóa mọi kết quả xác minh metadata trước đó, vì vậy hãy xác minh lại sau khi điều chỉnh.

Trỏ Console tới metadata của nhà cung cấp

Hàng Discovery / metadata URL giúp bạn tìm và xác nhận đúng URL metadata.

  1. Chọn nhà cung cấp của bạn từ danh sách dựng sẵn. Các preset bao gồm Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin, và Other provider. Mỗi preset hiển thị gợi ý host mà nó mong đợi, chẳng hạn tenant ID hoặc company.okta.com.
  2. Chọn Use provider URL để điền vào trường metadata bằng một URL discovery được gợi ý, xây dựng từ nhà cung cấp và miền của bạn. Nếu chưa thể dựng được gợi ý, Console sẽ cho bạn biết cần nhập gì trước (một miền đăng nhập hoặc giá trị tenant).
  3. Chọn Open provider console để mở console quản trị của nhà cung cấp trong một tab mới.
  4. Một số preset thêm các nút chuyển giao thiết lập dành riêng cho nhà cung cấp (ví dụ mở màn hình đăng ký ứng dụng hoặc claims). Dùng các nút này để chuyển thẳng tới màn hình nơi bạn tạo hoặc kiểm tra ứng dụng IdP.
  5. Nếu bạn đã có chính xác URL metadata, hãy nhập hoặc dán vào trường metadata, ví dụ https://idp.example.com/.well-known/openid-configuration.

Console chỉ dựng gợi ý và liên kết từ các lựa chọn của bạn. Nó không đọc hoặc lưu bí mật.

Xác minh metadata

  1. Chọn Verify metadata. Console truy cập URL metadata của nhà cung cấp và kiểm tra các trường mong đợi. Nút sẽ hiển thị Verifying… trong khi đang chạy.
  2. Đọc bảng kết quả bên dưới trường:
    • Metadata verified nghĩa là Console đã truy cập được nhà cung cấp và tìm thấy các trường mong đợi. Nó hiển thị issuer hoặc entity ID đã phát hiện để bạn xác nhận khớp với nhà cung cấp của mình.
    • Metadata needs attention nghĩa là Console không thể xác minh metadata. Kiểm tra lại URL, miền và giao thức, rồi thử lại.

Xác minh là chỉ đọc. Nó xác nhận URL truy cập được và đúng định dạng; nó không hoàn tất kết nối.

Ánh xạ claim và nhóm vai trò

ISM dùng các giá trị này để ánh xạ người dùng đã đăng nhập tới đúng danh tính và vai trò. Mỗi trường chấp nhận các giá trị phổ biến từ danh sách chọn nhanh hoặc giá trị do bạn tự nhập.

FieldWhat it isExample
Provider app referenceMã ứng dụng, client, hoặc enterprise application không phải bí mật từ nhà cung cấp của bạn00000000-0000-0000-0000-000000000000
Username claimClaim chứa tên người dùngpreferred_username
Email claimClaim chứa địa chỉ emailemail
Groups claimClaim chứa thông tin thành viên nhóm hoặc vai trògroups
Admin group nameNhóm mà các thành viên của nó sẽ trở thành quản trị viên ArchiBotarchibot-admins
Member group nameNhóm mà các thành viên của nó sẽ trở thành thành viên tiêu chuẩnarchibot-users
Test admin emailTài khoản quản trị mà ISM có thể dùng để kiểm thử đăng nhậpadmin-test@example.com
Test member emailTài khoản thành viên mà ISM có thể dùng để kiểm thử đăng nhậpmember-test@example.com

Provider app reference chỉ là một định danh không phải bí mật. Nó giúp ISM liên kết các ghi chú bàn giao từ Console với đúng ứng dụng IdP. Không nhập client secret vào đây.

Đọc bảng SSO readiness

Bên dưới các trường, bảng SSO readiness tóm tắt mức độ hoàn chỉnh của bản gửi, với nhãn ready/total. Mỗi ô chuyển sang sẵn sàng khi bạn điền chi tiết tương ứng:

  • Login domains — đã đặt ít nhất một miền đăng nhập.
  • Metadata verification — có URL metadata và đã được xác minh.
  • Provider application — đã cung cấp provider app reference.
  • Claim mapping — đã ánh xạ claim username và email.
  • Role groups — đã đặt tên nhóm admin và member.
  • Callbacks — đã tính đến thiết lập callback phía nhà cung cấp.
  • Test users — đã cung cấp ít nhất một tài khoản kiểm thử.

Bạn không cần đạt mọi mục trước khi gửi, nhưng bảng tổng quan readiness đầy đủ hơn sẽ giúp ISM hoàn tất nhanh hơn.

Gửi thiết lập SSO của bạn

  1. Nếu bạn cần phương án dự phòng bằng mật khẩu tạm thời cho một người dùng được phê duyệt nhưng chưa thể hoàn tất MFA trên thiết bị, hãy đặt tùy chọn Password fallback để yêu cầu nó. Tùy chọn này chỉ có khi password fallback được bật cho tài khoản của bạn, và ISM phải phê duyệt rồi bật chính sách trước khi nó thay đổi hành vi đăng nhập.
  2. Thêm bất kỳ thông tin nào ISM nên biết vào SSO notes, chẳng hạn cửa sổ bảo trì hoặc một điểm bất thường của nhà cung cấp.
  3. Chọn Submit SSO setup.

Console xác nhận việc gửi và cho bạn biết ISM sẽ liên hệ lại khi cấu hình sẵn sàng để kiểm thử. ISM hoàn tất kết nối và trao đổi mọi bí mật qua một kênh được phê duyệt, không bao giờ qua biểu mẫu này.

Nếu IdP của bạn cũng cần cấp phát vòng đời SCIM, hãy yêu cầu ISM đưa điều đó vào bàn giao cho người vận hành. Console có thể ghi lại một tham chiếu token SCIM không phải bí mật, nhưng bearer token thực tế được cấu hình thông qua kho lưu trữ bí mật do triển khai sở hữu.

Những gì không nên nhập vào biểu mẫu này

Bước Single sign-on chỉ nhận metadata OIDC hoặc SAML không phải bí mật và các tham chiếu SCIM không phải bí mật. Không dán:

  • Client secret hoặc khóa ký.
  • Khóa riêng tư hoặc chứng chỉ có chứa vật liệu riêng tư.
  • Cookie, session token, hoặc invite token.
  • Mật khẩu.

Nếu ISM cần một bí mật để hoàn tất kết nối, họ sẽ yêu cầu qua một kênh được phê duyệt.

Sau khi bạn gửi

  • ISM xem xét bản gửi của bạn và liên hệ để xác nhận hoặc đặt câu hỏi tiếp theo.
  • Khi kết nối đã hoạt động, người dùng của bạn đăng nhập qua tổ chức của bạn trên URL ArchiBot Chat.
  • Đăng nhập thành công không giống với việc một sản phẩm đã được bật. Các cổng sản phẩm và thanh toán vẫn quyết định mỗi người dùng có thể mở gì. Xem Thiết lập ArchiBot Chat.

Hướng dẫn liên quan

Hoàn tất khi

  • Bạn có thể mở bước Single sign-on trong Account Setup.
  • Xác minh metadata trả về kết quả đã xác minh.
  • SSO readiness hiển thị các mục bạn quan tâm ở trạng thái sẵn sàng.
  • Thiết lập SSO của bạn được gửi đến ISM mà không có bất kỳ bí mật nào.