Cách thiết lập Đăng nhập một lần (SSO) với Microsoft Entra ID

Tổng quan

Hướng dẫn này sẽ giúp quản trị viên CNTT của bạn thiết lập Đăng nhập một lần (SSO) giữa Microsoft Entra ID (trước đây là Azure AD) và ELSA Business. Khi SSO được bật, học sinh và giáo viên của bạn có thể đăng nhập vào ELSA Business bằng thông tin đăng nhập Microsoft doanh nghiệp hiện có, loại bỏ nhu cầu sử dụng mật khẩu riêng biệt.

Trước khi bắt đầu

Những gì bạn sẽ cung cấp

1. Tên miền email mà bạn sẽ sử dụng cho SSO (ví dụ: xyz@enterprisedomain.com)

Những gì bạn cần

1. Quyền quản trị truy cập vào cổng Microsoft Entra ID (Azure AD) của tổ chức bạn
2. Thông tin đăng nhập SSO (do ELSA cung cấp), bao gồm:
   • SP Entity ID (Service Provider Entity ID)
   • ACS URL (Assertion Consumer Service URL)

Bước 1: Tạo ứng dụng ELSA trong Microsoft Entra ID

1. Đăng nhập vào Microsoft Azure Portal

2. Đi tới Enterprise Applications:

   • Nhấp vào "Microsoft Entra ID" (hoặc "Azure Active Directory")
   • Chọn "Enterprise applications" từ menu bên trái
   • Nhấp vào "+ New application"
     

3. Tạo ứng dụng của riêng bạn:

   • Nhấp vào "Create your own application"
   • Nhập tên cho ứng dụng (ví dụ: "ELSA Business SSO")
   • Chọn "Integrate any other application you don't find in the gallery (Non-gallery)"
   • Nhấp vào "Create"
     

Bước 2: Cấu hình Đăng nhập một lần dựa trên SAML

1. Truy cập cài đặt SSO:

   • Trong ứng dụng ELSA vừa tạo, nhấp vào "Single sign-on" từ menu bên trái
   • Chọn "SAML" làm phương thức đăng nhập một lần
     

2. Cấu hình Basic SAML Settings:

   • Nhấp vào "Edit" trong phần "Basic SAML Configuration"
   • Nhập các giá trị sau do ELSA cung cấp:
     • Identifier (Entity ID): Nhập SP Entity ID từ ELSA
     • Reply URL (Assertion Consumer Service URL): Nhập ACS URL từ ELSA
       
   • Nhấp vào "Save"

Bước 3: Cấu hình Thuộc tính và Claims của người dùng

1. Chỉnh sửa Attributes & Claims:

   • Nhấp vào "Edit" trong phần "Attributes & Claims"
     

2. Đảm bảo các ánh xạ sau đã được thiết lập:

   Tên Claim	Thuộc tính nguồn
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.mail
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	user.givenname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	user.userprincipalname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	user.surname

   Lưu ý: Các ánh xạ này đảm bảo ELSA nhận được thông tin người dùng chính xác. Nếu bạn cần thay đổi các ánh xạ này vì bất kỳ lý do gì, vui lòng liên hệ bộ phận hỗ trợ ELSA trước, vì thay đổi có thể ảnh hưởng đến xác thực người dùng.
   

Bước 4: Cung cấp Metadata SAML cho ELSA

Sau khi cấu hình SAML, sao chép SAML Certificate (App Federation Metadata URL) từ cấu hình SAML (xem hình) và gửi lại cho đội ngũ CNTT của ELSA.

Bước 5: Gán Người dùng và Nhóm (Sau khi ELSA xác nhận thiết lập)

Khi ELSA xác nhận SSO đã được cấu hình:

1. Đi tới Users and Groups:

   • Trong ứng dụng ELSA, nhấp vào "Users and groups" từ menu bên trái
     
   • Nhấp vào "+ Add user/group"
     
     

2. Gán quyền truy cập:

   • Nhấp vào "Users" (hoặc "Groups") dưới "None Selected"
   • Chọn người dùng hoặc nhóm cần cấp quyền truy cập vào ELSA
   • Nhấp vào "Select" ở dưới cùng
   • Nhấp vào "Assign"
     

3. Điều này có nghĩa là:

   • Chỉ những người dùng/nhóm được gán mới có thể đăng nhập vào ELSA bằng SSO
   • Người dùng chưa được gán sẽ không thấy ELSA trong các ứng dụng Microsoft của họ
   • Bạn có thể thêm hoặc xóa người dùng bất cứ lúc nào

Kiểm tra kết nối SSO của bạn

1. Tự gán mình làm người dùng kiểm tra trước
2. Đăng xuất khỏi ELSA Business nếu đang đăng nhập
3. Đi tới trang đăng nhập ELSA Business của bạn
4. Nhấp vào "Sign in with SSO"
5. Nhập địa chỉ email doanh nghiệp của bạn
6. Kiểm tra bạn được chuyển hướng đến trang đăng nhập Microsoft
7. Xác nhận bạn có thể đăng nhập thành công vào ELSA

Xử lý sự cố thường gặp

Lỗi không thể đăng nhập

Nguyên nhân có thể:

• ELSA chưa hoàn tất cấu hình SSO ở phía chúng tôi
• Metadata URL chưa được gửi cho ELSA
• SP Entity ID hoặc ACS URL nhập sai

Giải pháp: Xác nhận với ELSA rằng thiết lập đã hoàn tất và kiểm tra lại các giá trị đã nhập ở Bước 2.

Người dùng đã được gán nhưng không thể đăng nhập

Nguyên nhân có thể:

• Email của người dùng trong Azure AD không khớp với email trong ELSA
• Thuộc tính người dùng chưa được cấu hình đúng
• Tài khoản người dùng chưa được kích hoạt trong ELSA

Giải pháp:

• Kiểm tra email của người dùng có khớp ở cả hai hệ thống
• Đảm bảo ánh xạ thuộc tính ở Bước 3 là chính xác
• Liên hệ bộ phận hỗ trợ ELSA để kiểm tra trạng thái tài khoản người dùng

Phần "Attributes & Claims" hiển thị ánh xạ khác

Nguyên nhân có thể:

• Azure AD của bạn có cấu hình claim tùy chỉnh

Giải pháp:

• Liên hệ bộ phận hỗ trợ ELSA trước khi chỉnh sửa các mục này
• Chúng tôi có thể làm việc với cấu hình thuộc tính hiện tại của bạn nếu cần

FAQ

Q: Chúng tôi có thể sử dụng đồng thời SSO và đăng nhập bằng email/mật khẩu thông thường không?
A: Có! SSO là một lựa chọn đăng nhập bổ sung. Người dùng vẫn có thể sử dụng email/mật khẩu nếu cần.

Q: Thiết lập SSO mất bao lâu?
A: Cấu hình Azure mất 20-30 phút. Cấu hình ELSA mất 1-2 ngày làm việc sau khi nhận được metadata của bạn.

Q: Chúng tôi có cần tạo tài khoản ELSA cho người dùng trước không?
A: Có, người dùng phải tồn tại trong ELSA Business trước khi có thể đăng nhập qua SSO. Liên hệ CSM của bạn để được hỗ trợ tải lên người dùng hàng loạt nếu cần.

Q: Chúng tôi có thể sử dụng SSO cho cả học sinh và giáo viên không?
A: Có, bất kỳ loại người dùng nào cũng có thể sử dụng SSO miễn là họ có tài khoản Microsoft trong thư mục của bạn.

Q: Điều gì xảy ra nếu email của người dùng thay đổi?
A: Liên hệ bộ phận hỗ trợ ELSA để cập nhật email trong ELSA Business cho khớp với email Azure AD mới.