Cách thiết lập Đăng nhập một lần (SSO) với Microsoft Entra ID

Tổng quan

Hướng dẫn này sẽ giúp quản trị viên CNTT của bạn thiết lập Đăng nhập một lần (SSO) giữa Microsoft Entra ID (trước đây là Azure AD) và ELSA School. Khi SSO được kích hoạt, học sinh và giáo viên của bạn có thể đăng nhập vào ELSA School bằng thông tin đăng nhập Microsoft hiện có của trường, loại bỏ nhu cầu sử dụng mật khẩu riêng biệt.

Trước khi bắt đầu

Những Gì Bạn Sẽ Cung Cấp

1. Cáitên miền emailmà bạn sẽ sử dụng cho SSO (ví dụ:xyz@schooldomain.com)

Những gì bạn sẽ cần

1. Quyền truy cập quản trịđến cổng thông tin Microsoft Entra ID (Azure AD) của tổ chức bạn
2. Thông tin đăng nhập SSO (ELSA sẽ cung cấp), bao gồm:
   • SP Entity ID (Mã định danh thực thể của Nhà cung cấp dịch vụ)
   • ACS URL (Assertion Consumer Service URL)

Bước 1: Tạo một Ứng dụng ELSA trong Microsoft Entra ID

1. Đăng nhậpđến bạnCổng thông tin Microsoft Azure

2. Đi tới Ứng dụng Doanh nghiệp:

   • Nhấp vào "Microsoft Entra ID" (hoặc "Azure Active Directory")
   • Chọn "Enterprise applications" từ menu bên trái
   • Nhấn vào "+ Ứng dụng mới"
     

3. Tạo ứng dụng của riêng bạn:

   • Nhấp vào "Tạo ứng dụng của riêng bạn"
   • Nhập tên cho ứng dụng (ví dụ: "ELSA School SSO")
   • Chọn "Tích hợp bất kỳ ứng dụng nào khác mà bạn không tìm thấy trong thư viện (Không thuộc thư viện)"
   • Nhấp vào "Tạo"
     

Bước 2: Cấu hình đăng nhập một lần (Single Sign-On) dựa trên SAML

1. Truy cập cài đặt SSO:

   • Trong ứng dụng ELSA mới tạo của bạn, hãy nhấp vào "Single sign-on" từ menu bên trái
   • Chọn "SAML" làm phương thức đăng nhập một lần (SSO)
     

2. Cấu hình Cài đặt SAML Cơ bản:

   • Nhấp vào "Chỉnh sửa" trong phần "Cấu hình SAML cơ bản"
   • Nhập các giá trị do ELSA cung cấp:
     • Định danh (Entity ID):Nhập vàoSP Entity IDtừ ELSA
     • URL phản hồi (URL Dịch vụ Tiếp nhận Xác thực):Nhập vàoACS URLtừ ELSA
       
   • Nhấn "Lưu"

Bước 3: Cấu hình Thuộc tính và Yêu cầu của Người dùng

1. Chỉnh sửa Thuộc tính & Yêu cầu

   • Nhấp vào "Chỉnh sửa" trong phần "Thuộc tính & Yêu cầu"
     

2. Xác minh rằng các ánh xạ sau đã được thiết lập:

   Yêu cầu tên	Thuộc tính nguồn
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.mail
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	user.givenname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	user.userprincipalname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	user.surname

   Quan trọng:Các ánh xạ này đảm bảo ELSA nhận được thông tin người dùng chính xác. Nếu bạn cần thay đổi các ánh xạ này vì bất kỳ lý do gì, vui lòng liên hệ bộ phận hỗ trợ của ELSA trước, vì các thay đổi có thể ảnh hưởng đến việc xác thực người dùng.
   

Bước 4: Cung cấp SAML Metadata cho ELSA

Sau khi cấu hình SAML, hãy sao chép Chứng chỉ SAML (App Federation Metadata URL) từ phần cấu hình SAML (xem hình) và gửi lại cho đội ngũ IT của ELSA.

Bước 5: Gán người dùng và nhóm (Sau khi ELSA xác nhận thiết lập)

Khi ELSA xác nhận rằng SSO đã được cấu hình:

1. Đi tới Người dùng và Nhóm:

   • Trong ứng dụng ELSA của bạn, hãy nhấp vào "Người dùng và nhóm" từ menu bên trái
     
   • Nhấp vào "+ Thêm người dùng/nhóm"
     
     

2. Chỉ định quyền truy cập:

   • Nhấp vào "Người dùng" (hoặc "Nhóm") dưới "Chưa chọn"
   • Chọn người dùng hoặc nhóm người dùng nên có quyền truy cập vào ELSA
   • Nhấn "Chọn" ở phía dưới
   • Nhấn vào "Giao nhiệm vụ"
     

3. Ý nghĩa của điều này:

   • Chỉ những người dùng/nhóm được chỉ định mới có thể đăng nhập vào ELSA bằng SSO
   • Người dùng chưa được chỉ định sẽ không nhìn thấy ELSA trong các ứng dụng Microsoft của họ
   • Bạn có thể thêm hoặc xóa người dùng bất cứ lúc nào

Kiểm tra kết nối SSO của bạn

1. Tự giao nhiệm vụ cho bản thântrước tiên với tư cách là người dùng thử
2. Đăng xuấtcủa ELSA School nếu hiện đang đăng nhập
3. Đi tớitrang đăng nhập ELSA School của bạn
4. Nhấp vào"Đăng nhập bằng SSO"
5. Nhậpđịa chỉ email trường của bạn
6. Xác minhbạn được chuyển hướng đến trang đăng nhập Microsoft
7. Xác nhậnbạn có thể đăng nhập thành công vào ELSA

Khắc phục sự cố thường gặp

Lỗi không thể đăng nhập

Nguyên nhân có thể:

• ELSA vẫn chưa hoàn tất cấu hình SSO ở phía chúng tôi
• URL metadata chưa được gửi đến ELSA
• SP Entity ID hoặc ACS URL đã được nhập không chính xác

Giải pháp:Xác nhận với ELSA rằng quá trình thiết lập đã hoàn tất và kiểm tra lại các giá trị đã nhập ở Bước 2.

Người dùng đã được gán nhưng không thể đăng nhập

Nguyên nhân có thể:

• Email của người dùng trong Azure AD không khớp với email của họ trong ELSA
• Thuộc tính người dùng chưa được cấu hình đúng
• Tài khoản của người dùng chưa được kích hoạt trong ELSA

Giải pháp:

• Xác minh email của người dùng khớp nhau trên cả hai hệ thống
• Kiểm tra rằng các ánh xạ thuộc tính ở Bước 3 là chính xác
• Liên hệ bộ phận hỗ trợ của ELSA để xác minh trạng thái tài khoản của người dùng

Phần "Attributes & Claims" hiển thị các ánh xạ khác nhau

Nguyên nhân có thể:

• Azure AD của bạn có thể có các cấu hình xác nhận tùy chỉnh

Giải pháp:

• Liên hệ bộ phận hỗ trợ của ELSA trước khi chỉnh sửa những mục này
• Chúng tôi có thể làm việc với cấu hình thuộc tính hiện tại của bạn nếu cần.

Câu hỏi thường gặp

Hỏi: Chúng tôi có thể sử dụng đăng nhập SSO và đăng nhập bằng email/mật khẩu cùng lúc không?
A: Có! SSO là một tùy chọn đăng nhập bổ sung. Người dùng vẫn có thể sử dụng email/mật khẩu nếu cần.

Hỏi: Thiết lập SSO mất bao lâu?
A: Cấu hình Azure mất khoảng 20-30 phút. Cấu hình của ELSA mất 1-2 ngày làm việc sau khi nhận được metadata của bạn.

Hỏi: Chúng tôi có cần tạo tài khoản ELSA cho người dùng trước không?
A: Vâng, người dùng phải tồn tại trong ELSA School trước khi có thể đăng nhập qua SSO. Vui lòng liên hệ với CSM của bạn nếu cần tải lên người dùng hàng loạt.

Hỏi: Chúng tôi có thể sử dụng SSO cho cả học sinh và giáo viên không?
A: Vâng, bất kỳ loại người dùng nào cũng có thể sử dụng SSO miễn là họ có tài khoản Microsoft trong thư mục của bạn.

Hỏi: Điều gì sẽ xảy ra nếu email của người dùng thay đổi?
Liên hệ bộ phận hỗ trợ của ELSA để cập nhật email trong ELSA School cho khớp với email Azure AD mới.