تسکی تسکیـ‌.دات‌آی‌آر ورود / ثبت‌نام
راهنمای تسکیـ.دات‌آی‌آر

ورود یکپارچه (SSO) با SAML و OIDC

ورود اعضا را با هویت سازمانی از طریق SAML یا OIDC یکپارچه و در صورت نیاز اجباری کنید.

ورود یکپارچه (SSO) به اعضای سازمان اجازه می‌دهد به‌جای رمز عبور جداگانه برای تسکیـ، با همان حساب هویت سازمانی خود (مثلاً Okta، Microsoft Entra ID، Google Workspace یا هر ارائه‌دهنده سازگار با OIDC و SAML) وارد شوند. این کار هم تجربه ورود را ساده می‌کند و هم کنترل دسترسی را به دست تیم امنیت/IT می‌سپارد: وقتی حساب کسی در سامانه مرکزی غیرفعال شود، مسیر ورود او به تسکیـ هم بسته می‌شود.

تنظیمات SSO در تنظیمات فضای کاری ← امنیت و در بخش «اتصال‌های SSO» قرار دارد. این قابلیت بخشی از مجموعه امنیت سازمانی است و در پلن تجاری پلاس در دسترس است؛ برای پیکربندی آن باید مالک فضای کاری باشید یا مجوز «مدیریت امنیت» را داشته باشید. تسکیـ از دو پروتکل استاندارد OIDC و SAML پشتیبانی می‌کند و هر فضای کاری اتصال‌های مخصوص خودش را دارد.

SSO چگونه کار می‌کند؟

راه‌اندازی SSO سه بخش دارد که باید کنار هم کامل شوند: یک «اتصال» که آدرس‌ها و کلیدهای ارائه‌دهنده هویت شما را نگه می‌دارد، یک «دامنه ایمیل تأییدشده» که مشخص می‌کند چه کاربرانی از این اتصال استفاده کنند، و تصمیم درباره اینکه SSO اختیاری باشد یا اجباری.

  • اتصال OIDC/SAML: محل ثبت اطلاعات فنی ارائه‌دهنده هویت و نقش پیش‌فرض اعضای تازه‌وارد.
  • دامنه ایمیل: تسکیـ با دامنه ایمیل کاربر تشخیص می‌دهد او را به کدام اتصال هدایت کند؛ دامنه باید پیش از استفاده تأیید شود.
  • ساخت خودکار کاربر (JIT): اگر روشن باشد، کاربر در نخستین ورود موفق به‌صورت خودکار با نقش پیش‌فرض به فضای کاری اضافه می‌شود.

ساخت اتصال OIDC یا SAML

  1. در بخش «اتصال‌های SSO» فرم «افزودن اتصال» را باز کنید و نوع را روی OIDC یا SAML بگذارید.
  2. یک نام نمایشی بنویسید (مثلاً «ورود سازمانی Okta») و نقش پیش‌فرض اعضای تازه‌وارد را انتخاب کنید (عضو، ادمین یا مهمان).
  3. برای OIDC مقادیر Authorization endpoint، Token endpoint، Userinfo endpoint، Client ID، Client secret و در صورت نیاز scopeها را وارد کنید؛ مقدار پیش‌فرض scope برابر openid profile email است.
  4. برای SAML مقادیر IdP entity ID، IdP SSO URL، در صورت وجود IdP SLO URL و گواهی X.509 ارائه‌دهنده را وارد کنید؛ آدرس Metadata سرویس‌دهنده در همان کارت نمایش داده می‌شود تا در سمت ارائه‌دهنده هویت ثبتش کنید.
  5. وضعیت را تعیین کنید: «draft» برای پیکربندی، و «active» وقتی آماده استفاده است. سپس روی ذخیره اتصال بزنید.

کلید محرمانه را دوباره وارد نکنید مگر برای تغییر: هنگام ویرایش اتصال، اگر فیلد Client secret یا گواهی SAML را خالی بگذارید، مقدار قبلی حفظ می‌شود. فقط زمانی آن را پر کنید که می‌خواهید کلید را عوض کنید.

تأیید دامنه ایمیل

برای اینکه تسکیـ بداند کدام کاربران باید از این اتصال استفاده کنند، باید مالکیت دامنه ایمیل سازمان را اثبات کنید. این کار در همان صفحه امنیت و در کارت «دامنه‌های ایمیل» انجام می‌شود.

  1. دامنه سازمان را (مثلاً company.com) وارد کنید و در صورت تمایل اتصال SSO مربوط به آن را انتخاب کنید، سپس «افزودن» را بزنید.
  2. رکورد TXT نمایش‌داده‌شده (با پیشوند taskie-verification) را در DNS دامنه خود ثبت کنید.
  3. روی بررسی DNS بزنید؛ پس از یافتن رکورد، دامنه به وضعیت «تأیید شده» می‌رود.
  4. اتصال SSO موردنظر را به دامنه نسبت دهید تا کاربران آن دامنه به همان ارائه‌دهنده هدایت شوند.

اختیاری یا اجباری کردن SSO

پس از تأیید دامنه، SSO به‌صورت پیش‌فرض اختیاری است؛ یعنی کاربران می‌توانند با SSO یا روش‌های دیگر وارد شوند. اگر می‌خواهید ورود را فقط از مسیر SSO ممکن کنید، کلید «الزام SSO» را برای دامنه روشن کنید. تسکیـ پیش از پذیرش الزام چند شرط ایمنی را بررسی می‌کند تا قفل‌شدن بیرون از حساب رخ ندهد.

  • دامنه باید تأیید شده باشد.
  • یک اتصال SSO فعال به دامنه نسبت داده شده باشد.
  • دست‌کم یک «تست ورود» موفق با همان اتصال انجام شده باشد؛ برای این کار از دکمه «تست ورود» روی اتصال فعال استفاده کنید.
  • پس از الزام، ورود با رمز عبور و گوگل برای کاربران آن دامنه بسته می‌شود و فقط مسیر SSO باقی می‌ماند.

اعضا چگونه وارد می‌شوند؟

در صفحه ورود، کاربر ایمیلش را وارد می‌کند؛ اگر دامنه ایمیل به یک اتصال فعال متصل باشد، تسکیـ او را به ارائه‌دهنده هویت سازمان هدایت می‌کند و پس از احراز هویت موفق به فضای کاری بازمی‌گرداند. اگر ساخت خودکار کاربر روشن باشد، عضو تازه با نقش پیش‌فرض ساخته می‌شود؛ و اگر فضای کاری الزام ورود دومرحله‌ای داشته باشد، آن مرحله هم پس از SSO اعمال می‌شود.

گام بعدی: برای اینکه ساخت و حذف خودکار کاربران را کامل‌تر به سامانه هویت بسپارید، سراغ تأمین خودکار کاربران با SCIM بروید. اگر می‌خواهید علاوه بر SSO امنیت ورود را بالاتر ببرید هم الزام ورود دومرحله‌ای را ببینید.

این مطلب برای شما مفید بود؟