מסמך זה תורגם על ידי בינה מלאכותית. לכל אי דיוק, אנא עיין בגרסה האנגלית
שילוב כניסה יחידה (SSO)
NocoBase מציעה פתרונות כניסה יחידה (Single Sign-On, SSO) מקיפים, התומכים במגוון פרוטוקולי אימות מובילים, ומאפשרים שילוב חלק עם מערכות זיהוי ארגוניות קיימות.
סקירה כללית
כניסה יחידה מאפשרת למשתמשים לגשת למספר מערכות קשורות אך עצמאיות באמצעות סט אחד של פרטי התחברות. המשתמשים נדרשים להתחבר פעם אחת בלבד, ולאחר מכן הם יכולים לגשת לכל היישומים המורשים ללא צורך בהזנה חוזרת של שם משתמש וסיסמה. גישה זו לא רק משפרת את חווית המשתמש, אלא גם מחזקת את אבטחת המערכת ואת יעילות הניהול.
פרוטוקולי אימות נתמכים
NocoBase תומכת בפרוטוקולי האימות והשיטות הבאות באמצעות תוספים:
פרוטוקולי SSO ארגוניים
-
SAML 2.0: תקן פתוח מבוסס XML, הנמצא בשימוש נרחב לאימות זהויות ברמה ארגונית. מתאים לתרחישים הדורשים שילוב עם ספקי זהויות ארגוניים (IdP).
-
OIDC (OpenID Connect): שכבת אימות זהות מודרנית הבנויה על OAuth 2.0, המספקת מנגנוני אימות והרשאה מתקדמים. תומכת בשילוב עם ספקי זהויות מובילים (כגון Google, Azure AD ועוד).
-
CAS (Central Authentication Service): פרוטוקול כניסה יחידה שפותח על ידי אוניברסיטת ייל, ונמצא בשימוש נרחב במוסדות להשכלה גבוהה ומוסדות חינוך.
-
LDAP: פרוטוקול גישה קל משקל לספריות (Lightweight Directory Access Protocol), המשמש לגישה ולתחזוקה של שירותי מידע ספריות מבוזרים. מתאים לתרחישים הדורשים שילוב עם Active Directory או שרתי LDAP אחרים.
אימות פלטפורמות צד שלישי
-
WeCom (WeChat Work): תומך בהתחברות באמצעות סריקת קוד QR של WeCom ובהתחברות חלקה מתוך היישום.
-
DingTalk: תומך בהתחברות באמצעות סריקת קוד QR של DingTalk ובהתחברות חלקה מתוך היישום.
שיטות אימות נוספות
-
קוד אימות ב-SMS: שיטת התחברות באמצעות קוד אימות הנשלח בהודעת SMS לטלפון הנייד.
-
שם משתמש וסיסמה: שיטת האימות הבסיסית המובנית ב-NocoBase.
שלבי השילוב
1. התקנת תוסף אימות
בהתאם לדרישות שלכם, מצאו והתקינו את תוסף האימות המתאים ממנהל התוספים. רוב תוספי האימות של SSO דורשים רכישה או מנוי נפרדים.
לדוגמה, התקינו את תוסף האימות של SAML 2.0:
או התקינו את תוסף האימות של OIDC:
2. הגדרת שיטת אימות
- עברו ללשונית הגדרות מערכת > אימות משתמשים
- לחצו על הוספת שיטת אימות
- בחרו את סוג האימות שהותקן (לדוגמה, SAML)
או בחרו OIDC:
- הגדירו את הפרמטרים הנדרשים בהתאם להנחיות
3. הגדרת ספק זהויות
כל פרוטוקול אימות דורש הגדרה ספציפית של פרטי ספק הזהויות:
- SAML: הגדירו מטא-דאטה של IdP, אישורים ועוד.
- OIDC: הגדירו Client ID, Client Secret, נקודת קצה לגילוי (discovery endpoint) ועוד.
- CAS: הגדירו את כתובת שרת ה-CAS.
- LDAP: הגדירו את כתובת שרת ה-LDAP, Bind DN ועוד.
- WeCom/DingTalk: הגדירו פרטי זיהוי של היישום (application credentials), Corp ID ועוד.
4. בדיקת התחברות
לאחר השלמת ההגדרה, מומלץ לבצע בדיקת התחברות:
- התנתקו מההתחברות הנוכחית.
- בדף ההתחברות, בחרו את שיטת ה-SSO שהוגדרה.
- השלימו את תהליך האימות של ספק הזהויות.
- ודאו שאתם מצליחים להתחבר ל-NocoBase בהצלחה.
מיפוי משתמשים והקצאת תפקידים
לאחר אימות SSO מוצלח, NocoBase מטפלת באופן אוטומטי בחשבונות המשתמשים:
- התחברות ראשונה: חשבון משתמש חדש נוצר באופן אוטומטי, ומידע בסיסי (כינוי, אימייל וכדומה) מסונכרן מספק הזהויות.
- התחברויות עוקבות: המערכת משתמשת בחשבון הקיים; ניתן לבחור אם לסנכרן ולעדכן את פרטי המשתמש.
- הקצאת תפקידים: ניתן להגדיר תפקידי ברירת מחדל, או להקצות תפקידים באופן אוטומטי בהתבסס על שדה התפקיד בפרטי המשתמש מספק הזהויות.
המלצות אבטחה
- שימוש ב-HTTPS: ודאו ש-NocoBase פרוסה בסביבת HTTPS כדי להגן על אבטחת העברת נתוני האימות.
- עדכון תעודות באופן קבוע: עדכנו והחליפו בזמן אישורי אבטחה כגון תעודות SAML.
- הגדרת רשימת היתרים לכתובות Callback: הגדירו נכון את כתובות ה-Callback של NocoBase אצל ספק הזהויות.
- עקרון ההרשאה המינימלית: הקצו למשתמשי SSO תפקידים והרשאות מתאימים.
- הפעלת רישום ביקורת (Audit Logging): תיעוד וניטור פעילויות התחברות SSO.
פתרון בעיות
כניסת SSO נכשלה?
- ודאו שהגדרות ספק הזהויות נכונות.
- ודאו שכתובות ה-Callback הוגדרו כראוי.
- בדקו את יומני הרישום של NocoBase לקבלת פרטי שגיאה מפורטים.
- ודאו שהתעודות והמפתחות תקפים.
פרטי משתמש אינם מסונכרנים?
- בדקו את מאפייני המשתמש המוחזרים על ידי ספק הזהויות.
- ודאו שהגדרות מיפוי השדות נכונות.
- ודאו שאפשרות סנכרון פרטי המשתמש מופעלת.
כיצד ניתן לתמוך במספר שיטות אימות בו-זמנית?
NocoBase תומכת בהגדרת מספר שיטות אימות בו-זמנית. משתמשים יכולים לבחור את השיטה המועדפת עליהם בדף ההתחברות.