Tạo cấu hình SSO mới (giao thức OIDC)

Đăng nhập một lần (SSO) cho phép nhân viên doanh nghiệp sử dụng danh tính doanh nghiệp thống nhất (chẳng hạn như Microsoft Entra ID và các nhà cung cấp danh tính dựa trên giao thức OIDC khác) để đăng nhập trực tiếp vào nền tảng eSignGlobal. Điều này không chỉ giúp loại bỏ rắc rối khi phải nhớ nhiều bộ tài khoản và mật khẩu mà còn giúp doanh nghiệp kiểm soát thống nhất quyền truy cập, nâng cao mức độ tuân thủ và bảo mật.

【Phiên bản áp dụng】Khả dụng cho phiên bản Professional trở lên (cần cài đặt plugin “Single Sign-on”).

Điều kiện tiên quyết

1. Yêu cầu về quyền：Phải là siêu quản trị viên không gian làm việc (Workspace Super Admin) mới có thể thực hiện cấu hình SSO. Thành viên thông thường và quản trị viên thông thường không thể truy cập trang cấu hình này.
2. Yêu cầu về plugin：Đảm bảo rằng không gian làm việc của bạn đã cài đặt và kích hoạt plugin “Single Sign-on” trong trung tâm plugin ứng dụng.
3. Chuẩn bị IdP：Bạn cần tạo một ứng dụng trong nhà cung cấp danh tính (IdP, chẳng hạn như Microsoft Entra ID) của doanh nghiệp và lấy thông tin cấu hình OIDC liên quan (chẳng hạn như Client ID, Client Secret, Issuer URL, v.v.).

Các bước cấu hình

Bước 1: Vào trang cấu hình SSO

Sau khi đăng nhập vào eSignGlobal, hãy vào trang quản trị của không gian làm việc, tìm mục cấu hình plugin “Single Sign-on”, nhấp để vào bảng điều khiển thêm cấu hình (Add Configuration).

Bước 2: Điền thông tin cơ bản và chọn giao thức

1. Nhập SP Identifier： Trong hộp nhập SP Identifier, hãy tùy chỉnh điền một đoạn mã định danh. Mã định danh này sẽ được sử dụng để nhận dạng không gian làm việc mà nhân viên thuộc về khi đăng nhập. (Vui lòng ghi lại cẩn thận mã định danh này, bạn sẽ cần sử dụng nó khi đăng nhập sau này).
2. Chọn giao thức： Trong menu thả xuống SSO Protocol, hãy chọn OIDC.

Bước 3: Lấy và cấu hình địa chỉ chuyển hướng

Khi chọn giao thức OIDC, hệ thống sẽ tự động tạo Redirect URI (Callback URL).

1. Nhấp vào biểu tượng sao chép ở bên phải hộp nhập liệu để sao chép URL đã tạo.
2. Truy cập bảng điều khiển quản lý nhà cung cấp danh tính (IdP) của bạn và điền URL đã sao chép vào cấu hình địa chỉ chuyển hướng (Redirect/Callback URL) tương ứng.

Bước 4: Định cấu hình tham số IdP và thông tin xác thực của máy khách

Trong bước này, bạn cần điền các tham số và thông tin khóa liên quan được trích xuất từ IdP. Hệ thống cung cấp cho bạn chức năng thu thập cấu hình điểm cuối thuận tiện:

1. Điền thông tin xác thực của máy khách:
   • Client ID: Điền ID máy khách nhận được sau khi tạo ứng dụng trong IdP.
   • Client Secret: Điền khóa máy khách nhận được trong IdP. (Để đảm bảo an toàn, sau khi khóa được lưu, nó sẽ được khử nhạy cảm không thể đảo ngược hoặc thay thế bằng dấu hoa thị khi chỉnh sửa lại).
2. Điền Issuer URL (Discovery URL): Nhập địa chỉ Issuer cơ bản của nhà cung cấp danh tính của bạn.
3. Lấy cấu hình điểm cuối (nhấp vào nút [Fetch Config]):
   • Hệ thống sẽ cố gắng tự động kết nối với IdP của bạn và phân tích cú pháp Authorization Endpoint, Token Endpoint, JWKS URI và UserInfo Endpoint.
   • Nếu bạn đang ở trong môi trường mạng nội bộ hoặc không thể tự động lấy thì hệ thống sẽ nhắc “Không lấy được cấu hình”. Lúc này bạn không cần lo lắng, bạn có thể điền thủ công thông tin tương ứng trực tiếp vào các hộp nhập điểm cuối bên dưới.
   • Lưu ý: UserInfo Endpoint không bắt buộc.

Bước 5: Lưu cấu hình

Sau khi xác nhận rằng tất cả thông tin cơ bản, thông tin xác thực của máy khách và thông tin điểm cuối là chính xác, hãy nhấp vào [Confirm] ở cuối để lưu cấu hình.