Face sso เราจะพิสูจน์ตัวตนผู้ใช้ผ่านผู้ให้บริการข้อมูลประจำตัวของคุณอย่างไร แนวคิดของคำว่า single sign-on (SSO) ค่อนข้างตรงไปตรงมา นั่นคือ ผู้ใช้งานมีการลงชื่อเข้าใช้หลัก เพื่อรับรองความถูกต้องของตัวเอง ในตอนเริ่มต้นการใช้งาน และเมื่อหลังจากนั้น หากผู้ใช้งานต้องการลงชื่อเข้าใช้ซอฟต์แวร์อื่นๆ ระบบ SSO ก็จะทำการ log-in ให้เองโดยอัตโนมัติ โซลูชั่น SSO จะจัดเก็บข้อมูลการยืนยันรับรอง ที่หลากหลาย สำหรับผู้ใช้ซอฟต์แวร์ทุกชิ้น ที่ต้องการเข้าถึง จากนั้นจะตรวจสอบความถูกต้อง ของผู้ใช้กับระบบเหล่านั้นเมื่อจำเป็นต้องเข้าถึง
1.ผู้ใช้ร้องขอหน้าเว็บผ่านพร็อกซีคลาวด์
2.บริการคลาวด์ระบุบัญชีของผู้ใช้
ก.สำหรับผู้ใช้ในพื้นที่จะขึ้นอยู่กับที่อยู่ IP ของผู้ใช้
ข.สำหรับผู้ใช้โรมมิ่งโดยทั่วไปผู้ใช้จะต้องป้อนที่อยู่อีเมล
3.บริการเปลี่ยนเส้นทางเบราว์เซอร์ของผู้ใช้ไปยังผู้ให้บริการข้อมูลประจำตัวที่กำหนดค่าไว้สำหรับบัญชี
4.เบราว์เซอร์ของผู้ใช้ส่งคำขอการตรวจสอบสิทธิ์ไปยังผู้ให้บริการข้อมูลประจำตัว
5.ผู้ให้บริการเอกลักษณ์พิสูจน์ตัวตนผู้ใช้
6.โทเค็นการพิสูจน์ตัวตนถูกโพสต์ไปยังเบราว์เซอร์ของผู้ใช้
7.โทเค็นจะถูกส่งต่อไปยังบริการคลาวด์ Forcepoint
8.โทเค็นได้รับการตรวจสอบเทียบกับข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัวและมีการระบุผู้ใช้ การตั้งค่านโยบายสำหรับผู้ใช้จะได้รับการตรวจสอบและอนุญาตหรือบล็อกคำขอ
9.บริการคลาวด์เปลี่ยนเส้นทางเบราว์เซอร์ของผู้ใช้กลับไปยัง URL ที่ร้องขอ
10.คุกกี้การระบุบัญชีและการตรวจสอบสิทธิ์ถูกตั้งค่าในเบราว์เซอร์ของผู้ใช้ ในครั้งต่อไปที่ผู้ใช้เข้าถึงบริการบัญชีของผู้ใช้จะถูกระบุและเซสชันได้รับการตรวจสอบสิทธิ์ผ่านคุกกี้โดยไม่เปลี่ยนเส้นทางไปยัง IdP
11.เบราว์เซอร์ขอ URL เป็นครั้งที่สอง
12.URL ถูกดึงและให้บริการแก่ผู้ใช้
บันทึก
บริการระบบคลาวด์จะแคชเซสชันการตรวจสอบสิทธิ์และตั้งค่าคุกกี้ในเบราว์เซอร์ของผู้ใช้เมื่อตรวจสอบสิทธิ์สำเร็จ ขั้นตอนที่ 3-10 ข้างต้นจะดำเนินการเพียงครั้งเดียวต่อเซสชันที่ตรวจสอบสิทธิ์
ผู้ใช้จะได้รับการตรวจสอบสิทธิ์อีกครั้งก็ต่อเมื่อล้างคุกกี้ของเบราว์เซอร์ใช้เบราว์เซอร์อื่นหรือไม่ตรวจสอบสิทธิ์อีกครั้งในช่วงระยะหมดเวลาของเซสชันซึ่งทำให้คุกกี้หมดอายุ ระยะหมดเวลาเซสชันกำหนดไว้ในแท็บAccess Controlของนโยบายของคุณ
หากนโยบายของผู้ใช้ไม่บังคับให้มีการตรวจสอบสิทธิ์สำหรับคำขอที่มีที่อยู่ IP ที่ทราบกระบวนการตรวจสอบสิทธิ์สำหรับผู้ใช้ภายในจะเกิดขึ้นโดยไม่มีการโต้ตอบกับผู้ใช้
หากตั้งค่านโยบายของผู้ใช้เป็นตรวจสอบสิทธิ์ผู้ใช้ทุกครั้งในการเข้าถึงครั้งแรกหรือหากผู้ใช้ร้องขอประเภทที่ต้องมีการตรวจสอบสิทธิ์ผู้ใช้จะได้รับหน้าลงชื่อเข้าใช้ของผู้ให้บริการข้อมูลประจำตัว หน้าลงชื่อเข้าใช้ด้านล่างเป็นตัวอย่างจาก Microsoft AD FS (โดยปกติหน้านี้สามารถปรับแต่งได้ผ่านคอนโซลการจัดการของผู้ให้บริการข้อมูลประจำตัวของคุณ)
หลังจากป้อนข้อมูลรับรองที่ถูกต้องผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ร้องขอ
การรับรองความถูกต้องสำหรับผู้ใช้ข้ามเขตหรือระยะไกล
เมื่อผู้ใช้โรมมิ่งหรือระยะไกลเชื่อมต่อจากที่อยู่ IP ที่ไม่รู้จักเป็นครั้งแรกบริการคลาวด์จะต้องระบุว่าผู้ใช้อยู่ในบัญชีใด ในการกำหนดค่าเริ่มต้นผู้ใช้ที่เชื่อมต่อจากที่อยู่ IP ที่ไม่รู้จักจะต้องระบุตัวตนโดยป้อนที่อยู่อีเมลในแบบฟอร์มการเข้าสู่ระบบ สิ่งนี้ช่วยให้พร็อกซีจับคู่ผู้ใช้โรมมิ่งกับบัญชีเพื่อใช้ผู้ให้บริการข้อมูลประจำตัวที่ถูกต้อง
เมื่อผู้ใช้ส่งที่อยู่อีเมลที่ถูกต้องบัญชีที่เกี่ยวข้องจะถูกระบุและรายละเอียดผู้ให้บริการข้อมูลประจำตัวจะถูกใช้เพื่อสร้างคำขอการตรวจสอบสิทธิ์และเปลี่ยนเส้นทางผู้ใช้ไปยังผู้ให้บริการสำหรับการตรวจสอบสิทธิ์ (หากผู้ใช้ป้อนที่อยู่อีเมลที่ไม่รู้จักข้อผิดพลาดจะปรากฏในแบบฟอร์มและผู้ใช้จะต้องลองใหม่อีกครั้ง)
โดยทั่วไปผู้ใช้จะต้องทำตามขั้นตอนนี้เพียงครั้งเดียว หลังจากการตรวจสอบความถูกต้องสำเร็จจะมีการตั้งค่าคุกกี้ที่มีอายุยาวนานซึ่งมีรหัสบัญชีของผู้ใช้ซึ่งทำให้บริการสามารถจดจำบัญชีของผู้ใช้ได้โดยไม่ต้องมีการโต้ตอบกับผู้ใช้ ขั้นตอนนี้จะต้องใช้อีกครั้งหากผู้ใช้เชื่อมต่อโดยใช้เบราว์เซอร์อื่นล้างคุกกี้ของเบราว์เซอร์หรือไม่ตรวจสอบสิทธิ์ซ้ำเป็นเวลานานทำให้คุกกี้หมดอายุ ระยะเวลาอายุการใช้งานเริ่มต้นสำหรับคุกกี้ระบุบัญชีคือ 6 เดือน
- หมายเหตุ: พอร์ตเฉพาะ (ความพร้อมใช้งาน จำกัด )
สำหรับองค์กรที่ไม่ต้องการให้ผู้ใช้โรมมิ่งป้อนที่อยู่อีเมลเมื่อเข้าสู่ระบบครั้งแรก Forcepoint สามารถกำหนดค่าพอร์ตเฉพาะสำหรับการตรวจสอบสิทธิ์ SSO สิ่งนี้ช่วยให้บริการระบุบัญชีสำหรับผู้ใช้โรมมิ่งโดยไม่ต้องให้ที่อยู่อีเมล
การใช้พอร์ตเฉพาะสำหรับ SSO เป็นคุณลักษณะความพร้อมใช้งานที่ จำกัด โปรดติดต่อฝ่ายสนับสนุนด้านเทคนิคหากคุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกนี้
สปท. ด้วยการขุดอุโมงค์
รองรับการลงชื่อเพียงครั้งเดียวเพื่อใช้กับการเชื่อมต่อทันเนลกับบริการคลาวด์ (IPsec Advanced, GRE และ EasyConnect) - สำคัญ
SSO ที่มีการทันเนลจะใช้ได้เฉพาะกับ GRE, IPsec Advanced, EasyConnect และอื่น ๆ เท่านั้นซึ่งไม่สามารถใช้ได้กับ Legacy IPsec
ทางเลือกในการตรวจสอบสิทธิ์
หากบริการไม่สามารถสื่อสารกับผู้ให้บริการข้อมูลประจำตัวผู้ใช้จะมีตัวเลือกในการพิสูจน์ตัวตนกับบริการคลาวด์โดยใช้กลไกอื่น ในระหว่างกระบวนการเปลี่ยนเส้นทางผู้ให้บริการเอกลักษณ์หน้าการเปลี่ยนเส้นทางจะปรากฏขึ้น หน้านี้มีลิงก์ที่อนุญาตให้ผู้ใช้ยกเลิกกระบวนการลงชื่อเพียงครั้งเดียวและลองใช้วิธีการรับรองความถูกต้องอื่น Face sso
เมื่อผู้ใช้คลิกลิงก์นี้บริการจะพยายามระบุตัวผู้ใช้ก่อนโดยใช้การระบุ NTLM แบบโปร่งใสก่อนที่จะกลับไปใช้การรับรองความถูกต้องด้วยตนเอง (ขึ้นอยู่กับการตั้งค่าที่เปิดใช้งานในนโยบายของผู้ใช้) ดูForcepoint เว็บการรักษาความปลอดภัยเมฆช่วยเหลือ – แท็บการควบคุมการเข้าถึง
- บันทึก
สำหรับผู้ใช้โรมมิ่งการพิสูจน์ตัวตนแบบฟอร์มด้วยตนเองเป็นวิธีทางเลือกเดียวที่ใช้ได้
ไม่สนับสนุนทางเลือกในการพิสูจน์ตัวตนเมื่อใช้พอร์ตเฉพาะสำหรับ SSO
การจัดสรรอัตโนมัติ
ผู้ใช้ที่ไม่รู้จักระบบสามารถจัดสรรให้กับนโยบายระบบคลาวด์โดยอัตโนมัติหลังจากการรับรองความถูกต้องกับผู้ให้บริการข้อมูลประจำตัวของคุณสำเร็จ ผู้ใช้ที่จัดสรรโดยอัตโนมัติจะถูกเพิ่มเข้าไปในนโยบายโดยใช้ที่อยู่อีเมลของผู้ใช้หรือรหัส NTLM ที่อยู่ในโทเค็นการตรวจสอบสิทธิ์ที่ผู้ให้บริการข้อมูลประจำตัวของคุณให้มา
รองรับการจัดสรรอัตโนมัติสำหรับผู้ใช้ในพื้นที่และผู้ใช้โรมมิ่งเรียกดูผ่านพอร์ตเฉพาะ ไม่รองรับการจัดสรรอัตโนมัติสำหรับผู้ใช้โรมมิ่งที่ระบุผ่านหน้าการระบุบัญชี - บันทึก
การใช้พอร์ตเฉพาะสำหรับ SSO เป็นคุณลักษณะความพร้อมใช้งานที่ จำกัด โปรดติดต่อฝ่ายสนับสนุนด้านเทคนิคหากคุณต้องการข้อมูลเพิ่มเติม
หากต้องการจัดสรรผู้ใช้โดยอัตโนมัติตามนโยบายเฉพาะเมื่อใช้พอร์ตเฉพาะโปรดติดต่อฝ่ายสนับสนุนด้านเทคนิค
การถอดรหัสการพิสูจน์ตัวตน
เมื่อเปิดใช้งานการลงชื่อเพียงครั้งเดียวสำหรับบัญชีบริการคลาวด์จะทำการถอดรหัสการตรวจสอบความถูกต้องตามค่าเริ่มต้นสำหรับการรับส่งข้อมูล HTTPS ไม่ว่านโยบายจะเปิดใช้งานการถอดรหัส SSL หรือไม่ก็ตาม สิ่งนี้จำเป็นเพื่อระบุผู้ใช้
ดังนั้นลูกค้าต้องดาวน์โหลดใบรับรองหลักของ Forcepoint และติดตั้งบนเครื่องไคลเอนต์ทั้งหมดที่จะใช้การลงชื่อเพียงครั้งเดียว สิ่งนี้ช่วยให้มั่นใจได้ว่าผู้ใช้ปลายทางที่เรียกดูไซต์ HTTPS สามารถตรวจสอบสิทธิ์ได้อย่างราบรื่นผ่านผู้ให้บริการข้อมูลประจำตัวของคุณ หากไม่ได้ติดตั้งใบรับรองผู้ใช้จะเห็นข้อผิดพลาดของเบราว์เซอร์ที่ระบุว่าใบรับรองไซต์ไม่ถูกต้อง
การถอดรหัสที่รองรับและการตั้งค่าการข้ามพร็อกซี
เนื่องจากวิธีการทำงานของ single sign-on จึงไม่รองรับการตั้งค่าบายพาสบางอย่างหรืออาจทำงานแตกต่างกันไปสำหรับผู้ใช้ในระบบและโรมมิ่ง คุณสมบัติที่ได้รับผลกระทบ ได้แก่ :
*
บายพาสถอดรหัสการพิสูจน์ตัวตน (เข้าถึงผ่านเว็บ> การตั้งค่าบายพาส>แท็บ SSL ) การตั้งค่านี้ใช้เพื่อปิดใช้งานการถอดรหัสการพิสูจน์ตัวตนสำหรับบางหมวดหมู่ในนโยบายทั้งหมด
*
การเลี่ยงผ่านการพิสูจน์ตัวตนโดยตัวแทนผู้ใช้หรือปลายทาง (เข้าถึงผ่านทางเว็บ> การตั้งค่าบายพาส>แท็บบายพาสการพิสูจน์ตัวตน ) การตั้งค่านี้จะข้ามการพิสูจน์ตัวตนสำหรับตัวแทนผู้ใช้หรือชื่อโฮสต์ที่ระบุในนโยบายทั้งหมดโดยสิ้นเชิง
*
ข้ามการถอดรหัส SSL (เข้าถึงผ่านเว็บ> นโยบาย> [ชื่อนโยบาย]> หมวดหมู่เว็บ> บายพาสถอดรหัส SSL ) การตั้งค่านี้ใช้เพื่อปิดใช้งานการถอดรหัส SSL สำหรับชื่อโฮสต์ที่ระบุภายในแต่ละนโยบาย - บันทึก
ปลายทางที่ไม่ใช่พร็อกซีได้รับการสนับสนุนสำหรับทั้งผู้ใช้ในพื้นที่และผู้ใช้โรมมิ่งที่มี SSO โดเมนที่ไม่ใช่พร็อกซีทั่วโลกมีการตั้งค่าบนเว็บ> บายพาสการตั้งค่า> พร็อกซีแท็บหรือตามนโยบายภายใต้เว็บ> นโยบาย> [ชื่อนโยบาย]> การเชื่อมต่อ> พร็อกซี
โดเมนที่ไม่ใช่พร็อกซีข้ามบริการพร็อกซีทั้งหมด - สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systemsทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
