#การผสานรวมระบบ Single Sign-On (SSO)

NocoBase มีโซลูชัน Single Sign-On (SSO) ที่สมบูรณ์แบบ รองรับโปรโตคอลการยืนยันตัวตนหลัก ๆ ได้หลากหลาย ช่วยให้สามารถผสานรวมกับระบบยืนยันตัวตนขององค์กรที่มีอยู่ได้อย่างราบรื่นครับ/ค่ะ

#ภาพรวม

Single Sign-On (SSO) ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบหลาย ๆ ระบบที่เกี่ยวข้องกันแต่เป็นอิสระต่อกันได้ด้วยชุดข้อมูลประจำตัวเพียงชุดเดียวครับ/ค่ะ ผู้ใช้เพียงแค่ล็อกอินครั้งเดียว ก็สามารถเข้าถึงแอปพลิเคชันที่ได้รับอนุญาตทั้งหมดได้ โดยไม่ต้องกรอกชื่อผู้ใช้และรหัสผ่านซ้ำ ๆ ซึ่งไม่เพียงแต่ช่วยยกระดับประสบการณ์ของผู้ใช้เท่านั้น แต่ยังช่วยเพิ่มความปลอดภัยของระบบและประสิทธิภาพในการบริหารจัดการอีกด้วยครับ/ค่ะ

#โปรโตคอลการยืนยันตัวตนที่รองรับ

NocoBase รองรับโปรโตคอลและวิธีการยืนยันตัวตนดังต่อไปนี้ผ่านทาง ปลั๊กอิน ครับ/ค่ะ

#โปรโตคอล SSO ระดับองค์กร

• SAML 2.0: มาตรฐานเปิดที่ใช้ XML เป็นพื้นฐาน ซึ่งเป็นที่นิยมอย่างแพร่หลายในการยืนยันตัวตนระดับองค์กร เหมาะสำหรับสถานการณ์ที่ต้องการผสานรวมกับผู้ให้บริการยืนยันตัวตน (IdP) ขององค์กรครับ/ค่ะ

• OIDC (OpenID Connect): เลเยอร์การยืนยันตัวตนที่สร้างขึ้นบน OAuth 2.0 ซึ่งมีกลไกการยืนยันตัวตนและการอนุญาตที่ทันสมัย รองรับการผสานรวมกับผู้ให้บริการยืนยันตัวตนหลัก ๆ (เช่น Google, Azure AD เป็นต้น) ครับ/ค่ะ

• CAS (Central Authentication Service): โปรโตคอล Single Sign-On ที่พัฒนาโดยมหาวิทยาลัยเยล และเป็นที่นิยมใช้อย่างแพร่หลายในสถาบันอุดมศึกษาและสถานศึกษาครับ/ค่ะ

• LDAP: โปรโตคอลการเข้าถึงไดเรกทอรีแบบ Lightweight ใช้สำหรับเข้าถึงและดูแลบริการข้อมูลไดเรกทอรีแบบกระจาย เหมาะสำหรับสถานการณ์ที่ต้องการผสานรวมกับ Active Directory หรือเซิร์ฟเวอร์ LDAP อื่น ๆ ครับ/ค่ะ

#การยืนยันตัวตนผ่านแพลตฟอร์มภายนอก

• WeCom (WeChat Work): รองรับการล็อกอินด้วย QR Code ของ WeCom และการยืนยันตัวตนแบบไร้รอยต่อภายในแอป WeCom ครับ/ค่ะ

• DingTalk: รองรับการล็อกอินด้วย QR Code ของ DingTalk และการยืนยันตัวตนแบบไร้รอยต่อภายในแอป DingTalk ครับ/ค่ะ

#วิธีการยืนยันตัวตนอื่น ๆ

• รหัสยืนยันทาง SMS: วิธีการล็อกอินด้วยรหัสยืนยันที่ส่งผ่านข้อความ SMS ทางโทรศัพท์มือถือครับ/ค่ะ

• ชื่อผู้ใช้/รหัสผ่าน: วิธีการยืนยันตัวตนพื้นฐานที่ NocoBase มีมาให้ในตัวครับ/ค่ะ

#ขั้นตอนการผสานรวม

#1. ติดตั้ง ปลั๊กอิน การยืนยันตัวตน

ตามความต้องการของคุณ ให้ค้นหาและติดตั้ง ปลั๊กอิน การยืนยันตัวตนที่เกี่ยวข้องจากตัวจัดการ ปลั๊กอิน ครับ/ค่ะ ปลั๊กอิน การยืนยันตัวตน SSO ส่วนใหญ่จำเป็นต้องซื้อหรือสมัครสมาชิกแยกต่างหากครับ/ค่ะ

ตัวอย่างเช่น การติดตั้ง ปลั๊กอิน การยืนยันตัวตน SAML 2.0:

หรือติดตั้ง ปลั๊กอิน การยืนยันตัวตน OIDC:

#2. กำหนดค่าวิธีการยืนยันตัวตน

1. ไปที่หน้า การตั้งค่าระบบ > การยืนยันตัวตนผู้ใช้ ครับ/ค่ะ

2. คลิก เพิ่มวิธีการยืนยันตัวตน
3. เลือกประเภทการยืนยันตัวตนที่ติดตั้งไว้แล้ว (เช่น SAML)

หรือเลือก OIDC:

4. กำหนดค่าพารามิเตอร์ที่เกี่ยวข้องตามคำแนะนำครับ/ค่ะ

#3. กำหนดค่าผู้ให้บริการยืนยันตัวตน (Identity Provider)

โปรโตคอลการยืนยันตัวตนแต่ละประเภทจำเป็นต้องมีการกำหนดค่าข้อมูลผู้ให้บริการยืนยันตัวตนที่เกี่ยวข้องครับ/ค่ะ

• SAML: กำหนดค่า IdP metadata, ใบรับรอง (certificates) เป็นต้น

• OIDC: กำหนดค่า Client ID, Client Secret, Discovery Endpoint เป็นต้น

• CAS: กำหนดค่าที่อยู่เซิร์ฟเวอร์ CAS
• LDAP: กำหนดค่าที่อยู่เซิร์ฟเวอร์ LDAP, Bind DN เป็นต้น
• WeCom/DingTalk: กำหนดค่าข้อมูลประจำตัวแอปพลิเคชัน, Corp ID เป็นต้น

#4. ทดสอบการล็อกอิน

หลังจากกำหนดค่าเสร็จสิ้นแล้ว แนะนำให้ทำการทดสอบก่อนครับ/ค่ะ

1. ออกจากระบบปัจจุบัน
2. ที่หน้าล็อกอิน ให้เลือกวิธีการ SSO ที่กำหนดค่าไว้

3. ดำเนินการตามขั้นตอนการยืนยันตัวตนของผู้ให้บริการยืนยันตัวตนให้เสร็จสมบูรณ์
4. ตรวจสอบว่าสามารถล็อกอินเข้าสู่ NocoBase ได้สำเร็จหรือไม่

#การจับคู่ผู้ใช้และการกำหนดบทบาท

เมื่อการยืนยันตัวตน SSO สำเร็จ NocoBase จะจัดการบัญชีผู้ใช้โดยอัตโนมัติครับ/ค่ะ

• การล็อกอินครั้งแรก: จะสร้างบัญชีผู้ใช้ใหม่โดยอัตโนมัติ และซิงค์ข้อมูลพื้นฐาน (เช่น ชื่อเล่น, อีเมล เป็นต้น) จากผู้ให้บริการยืนยันตัวตนครับ/ค่ะ
• การล็อกอินครั้งถัดไป: จะใช้บัญชีที่มีอยู่ในการล็อกอิน และสามารถเลือกได้ว่าจะซิงค์ข้อมูลผู้ใช้ที่อัปเดตหรือไม่ครับ/ค่ะ
• การกำหนดบทบาท: สามารถกำหนดบทบาทเริ่มต้น หรือกำหนดบทบาทโดยอัตโนมัติผ่านฟิลด์บทบาทในข้อมูลผู้ใช้ครับ/ค่ะ

#ข้อแนะนำด้านความปลอดภัย

1. ใช้ HTTPS: ตรวจสอบให้แน่ใจว่า NocoBase ถูกติดตั้งในสภาพแวดล้อม HTTPS เพื่อปกป้องความปลอดภัยของการส่งข้อมูลการยืนยันตัวตนครับ/ค่ะ
2. อัปเดตใบรับรองเป็นประจำ: อัปเดตและหมุนเวียนข้อมูลประจำตัวด้านความปลอดภัย เช่น ใบรับรอง SAML ให้ทันเวลาครับ/ค่ะ
3. กำหนดค่า Callback URL Whitelist: กำหนดค่า Callback URL ของ NocoBase ให้ถูกต้องที่ผู้ให้บริการยืนยันตัวตนครับ/ค่ะ
4. หลักการสิทธิ์ขั้นต่ำ: กำหนดบทบาทและสิทธิ์ที่เหมาะสมให้กับผู้ใช้ SSO ครับ/ค่ะ
5. เปิดใช้งานการตรวจสอบบันทึก (Audit Logging): บันทึกและตรวจสอบกิจกรรมการล็อกอิน SSO ครับ/ค่ะ

#การแก้ไขปัญหาเบื้องต้น

#ล็อกอิน SSO ไม่สำเร็จใช่ไหมครับ/คะ?

1. ตรวจสอบว่าการกำหนดค่าผู้ให้บริการยืนยันตัวตนถูกต้องหรือไม่
2. ตรวจสอบว่า Callback URL ได้รับการกำหนดค่าอย่างถูกต้องหรือไม่
3. ตรวจสอบบันทึก (logs) ของ NocoBase เพื่อดูข้อผิดพลาดโดยละเอียด
4. ยืนยันว่าใบรับรองและคีย์ยังคงใช้งานได้

#ข้อมูลผู้ใช้ไม่ซิงค์ใช่ไหมครับ/คะ?

1. ตรวจสอบคุณสมบัติของผู้ใช้ที่ส่งคืนโดยผู้ให้บริการยืนยันตัวตน
2. ตรวจสอบว่าการกำหนดค่าการจับคู่ฟิลด์ถูกต้องหรือไม่
3. ยืนยันว่าได้เปิดใช้งานตัวเลือกการซิงค์ข้อมูลผู้ใช้แล้ว

#จะรองรับวิธีการยืนยันตัวตนหลายวิธีพร้อมกันได้อย่างไร?

NocoBase รองรับการกำหนดค่าวิธีการยืนยันตัวตนหลายวิธีพร้อมกันครับ/ค่ะ ผู้ใช้สามารถเลือกวิธีการที่เหมาะสมเพื่อล็อกอินได้จากหน้าล็อกอินเลยครับ/ค่ะ

#แหล่งข้อมูลที่เกี่ยวข้อง

• เอกสารประกอบการยืนยันตัวตน
• การยืนยันตัวตนด้วย API Keys
• การจัดการผู้ใช้และสิทธิ์