SSO - Single sign on זוהי מערכת אימות המאפשרת למשתמש להיכנס עם מזהה יחיד למספר מערכות תוכנה.
המערכת מאפשרת למשתמש לבצע את החיבור פעם אחת ולאחר מכן לגשת לשירותים הרלוונטיים אליו מבלי להזין בכל פעם מחדש את גורמי האימות (שם משתמש + סיסמה).
היתרונות בשימוש SSO:
1. אין צורך באחסון וניהול של משתמשים וסיסמאות.
2. הימנעות מ"עייפות סיסמה" - קורה במצבים בהם משתמשים צריכים לזכור מספר רב של סיסמאות כחלק משגרת היומיום שלהם.
3. צמצום הזמן המושקע בהתחברות לכל המערכות ושיפור יעילות המשתמש.
4. הפחתת עלויות ה-IT עקב מספר נמוך של פניות בנושא סיסמאות.
5. ניהול פשוט של משתמשים וסיסמאות.
6. שליטה אדמיניסטרטיבית טובה יותר עקב ניהול ממקום אחד.
7. הקטנת הסיכוי לפרצות אבטחה.
8. אבטחה טובה יותר של המידע בארגון.
שימו לב: מערכת זו ניתנת כחלק מחבילת הSafeguard, להרחבה בנושא Safeguard לחצו כאן.
שלבים בהגדרת SSO במערכת:
1. הגדרת SSO בממשק הספק:
בשלב הראשון, בחרו את ה-Directory בו תרצו להשתמש כלומר, בחרו את הספק באמצעותו תבצעו את החיבור.
סוגי Directories לדוגמא: Azure AD,OKTA ,Google Directory ועוד.
הערה: ניתן לבחור כל ספק שאתם סומכים עליו או כזה שאתם כבר משתמשים בשירותיו.
הנתונים שיש להעביר ל-Directory הם:
א. Entity ID:
לעיתים הספק שבחרתם יספק לכם את המידע הזה. במידה והספק איתו אתם מבצעים את החיבור לא סיפק פרמטר זה, הזינו את ה-Domain הבא- https://app.fireberry.com.
ב. ACS URL- Assertion Cunsumer Service URL:
בפרמטר זה יש להזין את הכתובת הבאה:
https://app.fireberry.com/auth/login/sso/callback/{מזהה ארגון}
בשביל לאתר את מזהה הארגון במערכת יש ללחוץ על תמונת הפרופיל בסרגל העליון וללחוץ על פרופיל.
לאחר מכן יש להיכנס לאבטחת חשבון ולבחור בטוקן API, שם תוכלו לאתר את מזהה הארגון שלכם, להעתיק אותו ולהדביק אותו במקום המיועד לכך ב-URL.
(8).png "Untitled design (19).png")
דוגמה לכתובת URL בצירוף מזהה ארגון:
https://app.fireberry.com/auth/login/sso/callback/47A92619-F005-44F6-96B3-C6D9A9253684
שימו לב: מזהה הארגון חייב להיכתב באותיות גדולות, כך שבמידה ובמזהה הארגון מופיעות לכם אותיות קטנות, המירו אותם לאותיות גדולות.
2. הגדרת SSO במערכת:
בכדי להגדיר את המנגנון ה-SSO במערכת לחצו על גלגל השיניים, לאחר מכן לחצו על אבטחה.
.png "Untitled design (89).png")
בשלב הבא היכנסו ללשונית Login ובחרו באפשרות של SSO.
במערכת יש להזין את שלושת הפרמטרים הבאים:
א. SAML SSO Url- מזהה לאיזה ספק אני פונה (למשל OKTA).
ב. Identity Provider Issuer- מזהה מי המשתמש שפונה לספק (למשל מערכת Fireberry).
ג. Public Certificate- אישור פנייה לספק, ניתן להסתכל על זה כמו על סיסמה אישית.
הרחבה על שלושת הפרמטרים:
א. SAML SSO Url:
פרמטר זה נקבל מה-Directory (ספק) איתו בחרנו לעבוד.
כל שעליכם לעשות הוא להעתיק את הערך שקיבלתם מהספק ולהדביק אותו במערכת תחת SAML SSO Url.
ב. Identity Provider Issuer:
חשוב לדעת שפרמטר זה משתנה מספק לספק. ספקים מסויימים יספקו לכם פרמטר זה בעוד כי ספקים אחרים יוכלו לבקש ממכם להגדיר את הפרמטר וליידע אותם בבחירתכם.
במקרים בהם עליכם לספק את הפרמטר בעצמכם, ניתן לשים את ה-Domain של האפליקצייה אותה תרצו לחבר- https://app.fireberry.com תחת Identity Provider Issuer.
הערה חשובה: משתמשים אשר בחרו בספק Google Directory, עליכם להגדיר פרמטר זה בעצמכם. לעיתים זה עשוי להיראות כאילו Google Directory סיפק פרמטר זה אך בפועל עליכם להגדיר אותו בעצמכם. לכן גם במקרה זה ספקו את הDomain הבא- https://app.fireberry.com.
ג. Public Certificate:
גם פרמטר זה עליכם לקבל מהספק וכל מה שנותר לכם לעשות הוא להעתיק ולהדביק אותו תחת Public Certificate.
דוגמה לחיבור SSO באמצעות Google:
הערה חשובה: הפרמטרים שהספק דורש ומספק משתנים מספק לספק, הדוגמה נכונה רק עבור משתמשי Google Directory.
1. ראשית וודאו שלחשבון גוגל הנוכחי שלכם קיימת הרשאה ל- Google Admin בשביל לבצע את השלבים.
2. בחשבון ה-Admin לחצו על Apps ובחרו ב- Web and mobile apps.
(4).png "t (32).png")
3. לחצו על Add App ובחרו ב- Add custom SAML app.
(4).png "t (33).png")
4. בדף של ה- App Details הזינו את הפרטים הבאים:
א. שם האפליקציה- הכניסו את השם של האפליקציה שאתם מחברים (מערכת Fireberry).
ב. אייקון (אופציונאלי)- הכניסו את האייקון של האפליקציה שאתם מחברים (האייקון של Fireberry). במידה ולא תכניסו אייקון, האייקון שיופיע יורכב מצירוף של שתי האותיות הראשונות של האפליקציה למשל FI (שתי האותיות הראשונות של Fireberry).
(5).png "t (34).png")
5. לשמירת ההגדרות והמשך לחצו Continue.
(3).png "t (35).png")
6. בדף של ה- Google Identity Provider details ספקו ל-Fireberry את הפרטים שמופיעים בעמוד:
א. כתובת ה- SSO- במדובר בפרמטר א' במערכת של Fireberry.
העתיקו את ה- SSO URL ממשק Google.
(5).png "t (39).png")
הזינו אותו כפרמטר א׳ במערכת Fireberry.
(4).png "t (42).png")
ב. אישור- מדובר בפרמטר ג׳ במערכת Fireberry.
העתיקו את ה- Certificate ממשק Google.
(6).png "t (40).png")
הזינו אותו כפרמטר ג׳ במערכת Fireberry.
(4).png "t (43).png")
7. לחצו Continue.
(5).png "t (41).png")
8. בחלון Service Provider Details ספקו לגוגל את הפרטים הבאים:
א. ACS URL- Assertion Cunsumer Service URL:
בפרמטר זה יש להזין את הכתובת הבאה:
https://app.fireberry.com/auth/login/sso/callback/{מזהה ארגון}
בשביל לאתר את מזהה הארגון במערכת יש ללחוץ על תמונת הפרופיל בסרגל העליון וללחוץ על פרופיל.
(5).png "t (44).png")
לאחר מכן יש להיכנס לאבטחת חשבון ולבחור בטוקן API, שם תוכלו לאתר את מזהה הארגון שלכם, להעתיק אותו ולהדביק אותו במקום המיועד לכך ב-URL.
דוגמה של ה- ACS URL הסופי בממשק Google:
(4).png "t (45).png")
ב. Entity ID:
הזינו את ה-Domain הבא- https://app.fireberry.com.
(4).png "t (46).png")
10. תחת Name ID format בחרו את הפורמט של השדה שישמש לזיהוי למשל: Email.
ובשדה Name ID הזינו את השדה הנבדק בעת ביצוע כניסה למערכת Fireberry. השדה חייב להיות בעל ערך ייחודי וחד חד ערכי.
אם כתובת המייל שלכם לכניסה למערכת הינה כתובת מייל אמיתית וזהה לכתובת המייל שלכם ב- Google בחרו באפשרות של Primary Email.
(3).png "t (47).png")
במידה וכתובת המייל לכניסה למערכת שונה מכתובת המייל ב- Google או שמדובר בכתובת מייל פיקטיבית, הזינו את כתובת המייל של הכניסה למערכת בשדה אחר, למשל בשדה First name ובחרו בו תחת Name ID.
11. לסיום לחצו Continue.
(7).png "t (48).png")
כניסה באמצעות מנגנון ה-SSO:
ישנן שתי אפשרויות לכניסה למערכת באמצעות SSO:
1. כניסה באמצעות ממשק האימות שהספק מקנה, לדומא במידה והספק שלכם הוא Google הכניסה תתאפשר ישירות מתוך המייל שלכם.
2. כניסה ממסך הבית של Fireberry, גשו למסך הכניסה למערכת ובחרו באפשרות של התחברות עם SSO. בשלב הבא הזינו את המייל שלכם ותתאפשר הכניסה למערכת.
שימו לב: לאחר חיבור ה-SSO במערכת לא יהיה ניתן להתחבר למערכת באמצעות הזנת שם משתמש וסיסמה מלבד המשתמש שמוגדר כ-Admin.