การลงชื่อเข้าใช้ครั้งเดียว (SSO)

การลงชื่อเข้าใช้ครั้งเดียว (SSO) เป็นกลไกการตรวจสอบสิทธิ์ที่ช่วยให้ผู้ใช้สามารถเข้าถึงระบบและแอปพลิเคชันที่เชื่อถือได้หลายรายการด้วยข้อมูลรับรองชุดเดียว ซึ่งช่วยลดความจำเป็นในการลงชื่อเข้าใช้หลายครั้ง SSO มักจะดำเนินการผ่านโปรโตคอลระหว่างผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SP) ข้อดีหลักของ SSO ได้แก่:

• ลดความเหนื่อยล้าจากการจดจำรหัสผ่าน ปรับปรุงประสบการณ์ผู้ใช้ และเพิ่มประสิทธิภาพการทำงาน
• เสริมความปลอดภัย ให้ความสามารถในการจัดการข้อมูลประจำตัวและสิทธิ์การเข้าถึงของสมาชิกในองค์กรอย่างรวมศูนย์
• ลดต้นทุนด้าน IT ลดภาระการกู้คืนและการบำรุงรักษารหัสผ่าน

กระบวนการลงชื่อเข้าใช้พื้นฐานของ EngageLab SSO: เมื่อเข้าถึงลิงก์ลงชื่อเข้าใช้ EngageLab SSO ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังระบบ SSO ภายในหรือภายนอกเพื่อทำการตรวจสอบสิทธิ์ หลังจากตรวจสอบสำเร็จ ผู้ใช้จะกลับไปยังแพลตฟอร์ม EngageLab และลงชื่อเข้าใช้โดยอัตโนมัติ

คำศัพท์ที่ใช้บ่อย

หมายเหตุ:

• บริการ SSO ใช้อีเมลเป็นตัวระบุที่ไม่ซ้ำกัน โปรดตรวจสอบให้อีเมลที่กำหนดค่าใน IdP ขององค์กรตรงกับอีเมลบัญชีในแพลตฟอร์ม EngageLab
• ประเภทองค์กรและวิธีการลงชื่อเข้าใช้มีผลโดยตรงต่อสิทธิ์การเข้าถึงและความสามารถในการดำเนินการ ผู้ดูแลระบบองค์กรควรกำหนดค่าตามความต้องการจริง
• ก่อนกำหนดค่า SSO ต้องกำหนดค่าโปรโตคอล IdP ในระดับบัญชี อนุญาต IdP ไปยังองค์กรเป้าหมาย และเปิดใช้งานการลงชื่อเข้าใช้ SSO ในระดับองค์กร

กฎการเข้าถึงของผู้ใช้

• องค์กรทั่วไป: รองรับเฉพาะวิธีการลงชื่อเข้าใช้ทั่วไป ใช้ได้กับสมาชิกและผู้สร้างองค์กรทั้งหมด
• องค์กร SSO: สมาชิกทั้งหมดต้องลงชื่อเข้าใช้ผ่าน SSO ผู้สร้างองค์กรสามารถเข้าถึงได้ทั้งผ่านการลงชื่อเข้าใช้ทั่วไปและ SSO
• การเชื่อมโยงการลงชื่อเข้าใช้ SSO: เมื่อผู้ใช้ลงชื่อเข้าใช้ผ่านบริการ SSO ระบบจะบันทึกความสัมพันธ์ระหว่างบัญชีกับบริการ SSO ความสัมพันธ์สามารถสร้างได้ผ่าน:
  • การลงชื่อเข้าใช้ผ่านลิงก์ SSO ในอีเมล "เชิญเข้าร่วมองค์กร"
  • การลงชื่อเข้าใช้ผ่านลิงก์เฉพาะของบริการ SSO
  • การลงชื่อเข้าใช้ผ่านลิงก์ SSO ในอีเมลแจ้งเตือน "องค์กรเปิดใช้งานบริการ SSO สำเร็จ"
• การจับคู่ทางอีเมล: บริการ SSO ใช้อีเมลเป็นตัวระบุผู้ใช้ที่ไม่ซ้ำกันและจับคู่กับบัญชีในแพลตฟอร์มโดยอัตโนมัติ:
  • หน้าเข้าสู่ระบบ SSO ทั่วไป: หากไม่มีอีเมล ระบบจะปฏิเสธการเข้าสู่ระบบ
  • ลิงก์เข้าสู่ระบบ SSO เฉพาะ: หากไม่มีอีเมล ระบบจะสร้างบัญชีใหม่โดยอัตโนมัติ
• การสร้างบัญชี: บัญชีที่ใช้การลงชื่อเข้าใช้ทั่วไปสามารถสร้างองค์กรและกำหนดค่าบริการ SSO ให้กับองค์กรที่สร้างขึ้นได้ บัญชีที่ใช้การลงชื่อเข้าใช้ SSO ไม่สามารถสร้างองค์กรใหม่ได้

คู่มือการกำหนดค่า SSO

EngageLab รองรับการผสานรวมกับผู้ให้บริการข้อมูลประจำตัวที่ใช้โปรโตคอล SAML 2.0 รวมถึงแต่ไม่จำกัดเพียง Microsoft Azure, Okta, One Login และ Google

การกำหนดค่า EngageLab ใน IdP

ในการตั้งค่าการลงชื่อเข้าใช้ครั้งเดียว (SSO) ต้องเพิ่ม EngageLab เป็นแอปพลิเคชันในผู้ให้บริการข้อมูลประจำตัว (IdP) ติดต่อผู้ดูแลระบบ IdP ขององค์กรของคุณเพื่อกำหนดค่าข้อมูล SP ที่สร้างโดย EngageLab ในแอปพลิเคชัน IdP

1. ลงชื่อเข้าใช้ EngageLab วางเมาส์เหนือรูปโปรไฟล์ผู้ใช้ที่มุมล่างซ้ายของหน้าหลัก ในเมนูที่ปรากฏขึ้นให้คลิก “บัญชี” ใน “ศูนย์ส่วนตัว” คลิก “SSO” เพื่อเข้าสู่หน้า SSO
   

2. ในหน้า SSO คลิกปุ่ม “กำหนดค่า SSO”
   

3. คัดลอกข้อมูลการกำหนดค่าที่ EngageLab (SP) ให้ไว้และแชร์กับผู้ดูแลระบบ IdP ขอให้ผู้ดูแลระบบกำหนดค่าใน IdP ขององค์กร ยืนยันการกำหนดค่าเสร็จสิ้น จากนั้นทำเครื่องหมายในช่องยืนยันบนหน้าและไปยังขั้นตอนถัดไป
   

   ใช้ปุ่มคัดลอกทางด้านขวาเพื่อคัดลอกอย่างรวดเร็ว

4. ข้อมูลการกำหนดค่า:

   • การกำหนดค่าที่ SP สร้างขึ้น:
     • Entity ID: ตัวระบุเฉพาะของผู้ให้บริการ SP ใน IdP
     • ACS URL: ที่อยู่บริการผู้บริโภค Assertion ใช้สำหรับรับข้อมูล Assertion SAML ที่ส่งกลับจาก IdP
     • URL การเข้าสู่ระบบ: ที่อยู่ทางเข้าการลงชื่อเข้าใช้ SSO
     • URL การออกจากระบบ: ที่อยู่ทางเข้าการออกจากระบบ SSO
   • การกำหนดค่าที่ส่งกลับจาก IdP:
     • ใบรับรอง X.509 (base64): ใบรับรองผู้ให้บริการข้อมูลประจำตัว (ใบรับรองมีอายุการใช้งาน เมื่อหมดอายุต้องอัปเดตทันที)
     • URL การเข้าสู่ระบบ: ที่อยู่เข้าสู่ระบบ IdP
     • URL การออกจากระบบ: ที่อยู่ออกจากระบบ IdP

5. คำแนะนำการกำหนดค่าบนแพลตฟอร์ม IdP ต่างๆ:

   • Microsoft Azure
   • Okta
   • One Login
   • Google

ป้อนข้อมูลที่ส่งกลับจาก IdP

ป้อน ใบรับรอง URL การเข้าสู่ระบบ และ URL การออกจากระบบ ที่ IdP ให้ไว้ใน SP และคลิก ถัดไป

• กำหนดชื่อบริการ SSO ที่กำหนดเองเพื่อให้ง่ายต่อการระบุ
  

อนุญาตองค์กร

1. ในหน้า “อนุญาตองค์กร” เลือกองค์กรที่ต้องการกำหนดบริการ SSO และคลิก “บันทึก” เพื่อใช้การตั้งค่า

   • สามารถอนุญาตบริการ SSO หนึ่งรายการให้กับหลายองค์กร หรือกำหนดค่าบริการ SSO หลายรายการให้กับองค์กรเดียว
   • หากองค์กรแสดงข้อความ “ไม่มีสิทธิ์” หรือ “ถึงขีดจำกัดการอนุญาต” โปรด ติดต่อฝ่ายขาย
     

2. หลังจากการกำหนดค่ามีผล สมาชิกองค์กรต้องลงชื่อเข้าใช้ผ่าน SSO เพื่อเข้าถึงองค์กรที่เกี่ยวข้อง
   

ทดสอบบริการ SSO

หลังจากกำหนดค่าเสร็จสิ้น ให้ทดสอบบริการ SSO ผ่าน URL การลงชื่อเข้าใช้ SSO เพื่อดูว่าทำงานได้ตามปกติหรือไม่

• ตรวจสอบให้แน่ใจว่าบัญชีทดสอบได้เข้าร่วมองค์กรที่ได้รับอนุญาต SSO ใน EngageLab และได้รับสิทธิ์การเข้าถึงแอปพลิเคชัน SSO บนแพลตฟอร์ม IdP
  

รายการ SSO

รายการบริการ SSO แสดงบริการ SSO ทั้งหมดที่ได้รับการกำหนดค่าแล้ว โดยมีฟิลด์หลักดังนี้:

คลิกที่แถวใดๆ ในรายการจะเปิดกล่องโต้ตอบ "รายละเอียดบริการ SSO" โดยอัตโนมัติ

วางเมาส์เหนือฟิลด์ "องค์กรที่ได้รับอนุญาต" เพื่อแสดงรายการรายละเอียดขององค์กรที่ได้รับอนุญาต

แก้ไข

คลิกปุ่ม "แก้ไข" หรือแถวใดๆ ในรายการเพื่อเปิดแถบด้านข้างรายละเอียดบริการ SSO คุณสามารถดูและแก้ไขพารามิเตอร์การกำหนดค่า SSO ได้

• คลิกปุ่มด้านขวาเพื่อคัดลอกเนื้อหาฟิลด์ หน้าจะรองรับเฉพาะการแก้ไขข้อมูลการกำหนดค่า IdP ใหม่ ฟิลด์อื่นๆ จะเป็นแบบอ่านอย่างเดียว
  

ข้อมูลการกำหนดค่าที่สร้างโดย SP

• Entity ID: ตัวระบุเฉพาะของ SP (ผู้ให้บริการ) ใน IdP
• ACS URL: ที่อยู่บริการผู้บริโภคคำยืนยัน ใช้สำหรับรับข้อมูลคำยืนยัน SAML ที่ส่งกลับจาก IdP
• ลิงก์เข้าสู่ระบบ: ทางเข้าของ SSO
• ลิงก์ออกจากระบบ: ทางออกของ SSO

ข้อมูลการกำหนดค่าที่ส่งกลับโดย IdP

• ใบรับรอง X.509 (base64): ใบรับรองของผู้ให้บริการระบุตัวตน ใบรับรองมีอายุการใช้งาน หากหมดอายุโปรดอัปเดตทันที
• ลิงก์เข้าสู่ระบบ: ที่อยู่เข้าสู่ระบบที่ IdP ให้มา
• ลิงก์ออกจากระบบ: ที่อยู่ออกจากระบบที่ IdP ให้มา

องค์กรที่ได้รับอนุญาต

คลิกปุ่ม "อนุญาต" เพื่อเปิดแถบด้านข้างองค์กรที่ได้รับอนุญาต:

• แผงด้านซ้ายจะแสดง องค์กรที่พร้อมใช้งาน และแผงด้านขวาจะแสดง องค์กรที่ได้รับอนุญาต
• เฉพาะองค์กรที่มีสิทธิ์ SSO เท่านั้นที่สามารถได้รับอนุญาต หากคุณต้องการให้องค์กรที่ได้รับอนุญาตไม่มีสิทธิ์ SSO หรือถึงจำนวนสูงสุดของบริการ SSO ที่ได้รับอนุญาตแล้ว โปรด ติดต่อฝ่ายขาย
• หลังจากการอนุญาตหรือยกเลิกการอนุญาต สมาชิกขององค์กรที่ได้รับผลกระทบจะได้รับการแจ้งเตือนทางอีเมล และต้องทำการยืนยันตัวตนใหม่

ลบบริการ SSO

คลิกปุ่ม "ลบ" เพื่อลบบริการ SSO ปัจจุบัน โปรดดำเนินการด้วยความระมัดระวัง หลังจากลบแล้วบริการ SSO จะไม่สามารถใช้งานได้ สมาชิกองค์กรที่เกี่ยวข้องจะไม่สามารถเข้าสู่ระบบผ่านบริการนี้ได้

เข้าสู่ระบบในหน้า SSO ของเว็บไซต์ทางการ

1. เปิดหน้าเข้าสู่ระบบ EngageLab และคลิกปุ่ม "เข้าสู่ระบบ SSO"
   

2. ป้อนที่อยู่อีเมลที่ลงทะเบียนใน EngageLab ระบบจะค้นหาองค์กร SSO ที่เข้าถึงล่าสุด และเปลี่ยนเส้นทางกระบวนการเข้าสู่ระบบตามบริการ SSO ที่กำหนดค่าไว้ขององค์กรนั้น

   • หากองค์กรกำหนดค่าบริการ SSO หลายรายการและบัญชีของคุณเชื่อมโยงกับบริการ SSO หลายรายการ ระบบจะขอให้คุณเลือกว่าจะใช้บริการ SSO ใดในการเข้าสู่ระบบ
   • หากมีเพียงบริการ SSO เดียว ระบบจะเปลี่ยนเส้นทางโดยอัตโนมัติ

3. ระบบจะเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ IdP คุณต้องป้อนข้อมูลรับรองบัญชีเพื่อยืนยันตัวตน หลังจากยืนยันตัวตนสำเร็จ ระบบจะเปลี่ยนเส้นทางกลับไปยัง EngageLab เพื่อดำเนินกระบวนการเข้าสู่ระบบ SSO ให้เสร็จสมบูรณ์
   

สถานการณ์การเข้าสู่ระบบล้มเหลวที่พบบ่อย

1. บัญชีไม่มีอยู่
   โปรดตรวจสอบว่าที่อยู่อีเมลที่คุณป้อนลงทะเบียนใน EngageLab แล้วหรือไม่ หรือเคยเข้าสู่ระบบผ่านลิงก์ SSO หรือไม่ หากยังไม่ได้ลงทะเบียน คุณสามารถเข้าสู่ระบบผ่านลิงก์ SSO ระบบจะสร้างบัญชีให้คุณโดยอัตโนมัติ

2. ที่อยู่อีเมลไม่ตรงกัน
   หากที่อยู่อีเมลที่คุณป้อนแตกต่างจากที่อยู่อีเมลที่กำหนดค่าไว้ในบัญชีเข้าสู่ระบบ IdP ระบบจะแสดงข้อผิดพลาดที่อยู่อีเมลไม่ตรงกัน
   โปรดยืนยันที่อยู่อีเมลที่กำหนดค่าไว้ในบัญชี IdP หากพบปัญหา โปรดติดต่อผู้ดูแลระบบเพื่อขอความช่วยเหลือ

3. องค์กรไม่ได้เปิดใช้งานการเข้าสู่ระบบ SSO
   องค์กรที่คุณเข้าร่วมหรือสร้างไม่ได้เปิดใช้งานการเข้าสู่ระบบ SSO โปรดติดต่อผู้ดูแลระบบเพื่อเปิดใช้งานบริการ SSO สำหรับองค์กร

ลิงก์เข้าสู่ระบบ SSO เฉพาะ

แชร์ลิงก์เข้าสู่ระบบ SSO

หากคุณเป็นผู้สร้างองค์กร โปรดเข้าสู่ระบบ EngageLab ไปที่ "ศูนย์ส่วนตัว > SSO" คลิกบริการ SSO ที่สอดคล้องกับองค์กรเป้าหมาย คัดลอกลิงก์เข้าสู่ระบบ SSO และแชร์ให้กับสมาชิกองค์กร

กระบวนการเข้าสู่ระบบ

1. สมาชิกคลิกลิงก์เข้าสู่ระบบ SSO ระบบจะเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ IdP
   

2. หลังจากเข้าสู่ระบบใน IdP เสร็จสิ้น สมาชิกจะถูกเปลี่ยนเส้นทางไปยังคอนโซล EngageLab ที่อยู่อีเมลของบัญชีเข้าสู่ระบบ IdP จะถูกจับคู่กับที่อยู่อีเมลของบัญชี EngageLab

3. ในสถานการณ์ปกติ หากสมาชิกมีสิทธิ์ใดๆ ในองค์กรที่ได้รับอนุญาตจากบริการ SSO จะเข้าสู่องค์กร SSO ที่เข้าถึงล่าสุดโดยอัตโนมัติ

4. สถานการณ์ผิดปกติดังนี้:

   • หากที่อยู่อีเมลที่กำหนดค่าไว้ในบัญชี IdP ไม่ได้ลงทะเบียนในแพลตฟอร์ม EngageLab ระบบจะสร้างบัญชีโดยอัตโนมัติ เปลี่ยนเส้นทางไปยังหน้าการกำหนดค่าข้อมูลส่วนบุคคล และแสดงข้อความดังต่อไปนี้:
     "บัญชีของคุณยังไม่ได้รับสิทธิ์ในองค์กร SSO ใดๆ โปรดติดต่อผู้ดูแลระบบเพื่อขออนุญาต"
   • หากบัญชีได้รับการลงทะเบียนแล้วแต่ยังไม่ได้สร้างหรือเข้าร่วมองค์กรใดๆ ระบบจะแสดงข้อความดังต่อไปนี้:
     "บัญชีของคุณยังไม่ได้รับสิทธิ์ในองค์กร SSO ใดๆ โปรดติดต่อผู้ดูแลระบบเพื่อขออนุญาต"
   • หากบัญชีได้รับการลงทะเบียนและสร้างหรือเข้าร่วมองค์กรแล้ว แต่ไม่ได้รับสิทธิ์ในองค์กรที่ได้รับอนุญาตจากบริการ SSO ระบบจะเปลี่ยนเส้นทางไปยังรายการองค์กรของบัญชี คุณต้องเลือกองค์กรที่ต้องการเข้าถึงและเปลี่ยนไปใช้วิธีการเข้าสู่ระบบที่สอดคล้องกัน

หมายเหตุ:
หากต้องการเข้าถึงองค์กรผ่านลิงก์เข้าสู่ระบบ SSO โปรดติดต่อผู้ดูแลระบบองค์กรเพื่อเพิ่มที่อยู่อีเมลของคุณในสมาชิกองค์กร SSO

สถานการณ์การเข้าสู่ระบบล้มเหลวที่พบบ่อย

1. ไม่สามารถเข้าสู่ระบบใน IdP ได้สำเร็จ
   หากบัญชี IdP ของคุณไม่ได้รับสิทธิ์การเข้าถึงแอปพลิเคชัน SSO ของ IdP การเข้าสู่ระบบผ่านลิงก์ SSO จะเกิดข้อผิดพลาดในฝั่ง IdP โปรดติดต่อผู้ดูแลระบบ IdP เพื่อให้สิทธิ์การเข้าถึงแก่คุณ

ออกจากระบบบัญชี

ในสถานะเข้าสู่ระบบ SSO การออกจากระบบบัญชีจะแตกต่างจากการเข้าสู่ระบบแบบปกติ:

1. เมื่อคลิกออกจากระบบ ระบบจะเรียกใช้ลิงก์ออกจากระบบของ IdP โดยอัตโนมัติเพื่อดำเนินการออกจากระบบทั่วโลกใน IdP
   

2. หลังจากออกจากระบบ คุณต้องทำการยืนยันตัวตนใหม่ในแพลตฟอร์ม IdP เพื่อเข้าสู่ระบบอีกครั้ง