SSO Admin Panel
پنل مدیریت سرویس SSO
آشنایی
پنل مدیریت SSO جهت مدیریت سامانههایی که به سرویس SSO متصل هستند استفاده میشود. کاربرانی که قبلا مجوز مربوطه به آنها داده شده است میتوانند به این پنل متصل شوند. نحوه احراز هویت این پنل نیز از طریق درگاه SSO شرکت متن باز سامان هست و خود این پنل مدیریت به عنوان یک سامانه متصل به SSO از قبل تعریف شده است.
نحوه ورود
آدرس اتصال:
آدرس اتصال به پنل مدیریت بر اساس دامنه اصلی تعریف شده در سازمان شما مشابه زیر هست:
https://sso_domain_name/cas-management
به عنوان مثال این آدرس میتواند مشابه https://accounts.mbsco.ir/cas-management باشد. پس از وارد نمودن این آدرس در صورتی که کاربر شما session معتبر بر روی SSO در حال حاضر نداشته باشد به صفحه ورود هدایت میشود.
در صفحه ورود نام کاربری (بدون درج دامنه) و رمز عبور خود را وارد نمایید. در صورتی که این اطلاعات صحیح باشد به صفحه مدیریت هدایت میشوید. در صفحه مدیریت اگر با پیام خطایی مبنی بر عدم دسترسی مواجه شدید یعنی شما عضو گروه مدیران SSO نیستید و باید از پشتیبانی شرکت متن باز سامان مسئله را پیگیر شوید.
نمای پیشفرض
بصورت پیشفرض صفحه مدیریت قالبی مشابه زیر دارد:
ساخت سرویس جدید
برای ساخت سرویس جدید به ۲ صورت میتوانیم اقدام کنیم:
- ایجاد سرویس جدید
- کپی گرفتن از یک سرویس موجود و تغییر آن (Duplicate)
ایجاد سرویس جدید
طبق تصویر زیر از گوشه بالا سمت راست روی ۳ خط کلیک میکنیم تا منو ظاهر شود.
یا طبق دو تصویر زیر برای کپی گرفتن از یک نمونه فعلی و تغییر آن
پس از کلیک روی ۳ خط منوی زیر ظاهر میشود
از هر کدام از روشهای فوق که استفاده کنید وارد صفحه تنظیمات خواهید شد. دقت کنید که در صورت استفاده از روش کپی گرفتن سپس باید بر روی همان ۳ خط کلیک کنید و گزینه Edit را انتخاب کنید. گزینه Edit در تصویر فوق مشخص شده است
تنظیمات
طبق تصاویر بعدی برگههایی که بصورت پیشفرض نیاز به تنظیم دارند مشخص شده است. تنظیمات SSO بسته به حالتهای مختلف متنوع است . لذا اینجا حداقل تنظیماتی که جهت بهترین کارایی مورد نیاز هست ذکر شده است (نمایش بر روی تصویر به صورت متمایز شده با رنگ زرد).
نکته
جهت تغییر یا ایجاد هرگونه تنظیمی که نسبت به آن اطلاع ندارید صرفا با کارشناسان شرکت متن باز سامان در ارتباط باشید. بعضی از تنظیمات میتواند باعث ایجاد مشکل در کارایی یا امنیت سرویس دهنده و سرویسگیرنده شود.
تعاریف کلی
در این قسمت نام سرویس و آدرسی که از آن به سامانه SSO متصل میشود مشخص میگردد. توجه کنید که برای پوشش دادن به همه sub URLهای یک دامنه از Regex استفاده شده است. در صورتی که میخواهید محدودیت خاصی اعمال کنید و دانش کافی را ندارید با کارشناسان شرکت تماس حاصل فرمایید.
تنظیمات سیاست دسترسی
گزینه Allow Single Sign-on باعث میشود تا سرویس مربوطه بتواند با قابلیتهای SSO کار کند. در غیر اینصورت سرویس بصورت ایزوله به SSO متصل خواهد شد و قابلیت یک بار ورود آن با سایر سامانهها از دست میرود. گزینه Require All Attributes برای مواردی هست که بخواهیم کاربری که به این سیستم متصل میشود حتما دارای مشخصات خاص و با مقادیر خاص باشد. مثلا کاربر حتما مجوز دسترسی به سامانه اتوماسیون اداری را داشته باشد.
این مشخصهها در سرویس LDAP برای کاربران تعریف شده است و از تنظیمات بدون آگاهی در این قسمت خودداری فرمایید.
مشخصات بازگشتی کاربران
SSO میتواند پس از ورود موفق کاربر (یا اگر کاربر از قبل وارد شده و تیکت معتبر دارد) مشخصاتی را به ازای آن کاربر به سامانه متصل شده برگرداند. این مشخصات بسته به هر سرویس میتواند متفاوت باشد. دسترسی سامانهها به مشخصات بر اساس سیاستهای تعیین شده هر سازمان متفاوت هست و بر اساس سیاستهای تعیین شده این مشخصات تعیین میگردد.
نکته
لیست این مشخصات از سمت SSO تعریف شده است و در صورتی که مشخصاتی برای کاربران وجود دارد اما در این لیست مشاهده نمیشود باید مسئله را با بخش پشتیبانی شرکت مطرح نمایید.
ذخیره تنظیمات
حالا میتوانید تنظیمات را ذخیره کنید و سرویس مورد نظر به سامانه شما متصل شود. جهت توسعه سامانهها و یا نحوه اتصال آنها به مستندات راهنمای اتصال SSO مراجعه کنید. این راهنما از طرف شرکت در اختیار مشتریان قرار میگیرد.
فعال کردن احراز هویت دوعاملی TOTP
فعال کردن فاکتور دوم TOTP برای سامانه
با کاربری که دسترسی لازم را دارد وارد پنل سامانه به آدرس https://accounts.mbsco.ir/cas-management/ شوید، سپس وارد تنظیمات سامانه مورد نظر شوید، سپس به برگه Multifactor Authentication بروید و موارد را مشابه تصویر تعریف کنید و سپس ذخیره کنید:
- Google Authenticator
- mbsgauth
- true
برای کاربرانی که احراز هویت TOTP خود را فعال کرده باشند برای ورود به این سامانه فاکتور دوم نیز نیاز هست.
توجه داشته باشید که کاربر درصورتی که به چندین سامانه که دارای فاکتور دوم هستند وارد شود، تنها یکبار فاکتور دوم از کاربر اخذ خواهد شد و برای هر سامانه نیاز نیست که فاکتور دوم را وارد کند.