如果您对SSO感兴趣,请联系我们有关其他信息。
您是否已经使用身份提供商(IDP)来管理登录并访问用户需要访问的各种系统?如果是这样,您现在可以将炼金可手作为服务提供商(SP)包含作为单点登录(SSO)的一部分。如果您尚未使用IDP,您可能无法为炼金工开始。
我们支持任何使用SAML 2.0协议的IdP。现在,我们已经测试了来自Active Directory联邦服务(AD FS)和Azure (AD FS)的SSO。
炼金术中的SSO选项
在炼金术师你可以使用SSO…
- 将受访者验证到调查中。本教程将介绍此选项。
和/或 - 将用户身份验证到Alchemer应用程序以构建和管理调查。我们的选择涵盖了此选项用于验证Alchemer用户的单点登录(SSO)教程.
在这两种情况下,SSO都充当附加的安全层。
为什么我要使用SSO对调查对象进行身份验证?
通过SSO对调查对象进行身份验证,您可以锁定调查,以便只有具有IdP登录凭据的人才能访问您的调查。调查对象的SSO身份验证还有一个额外的好处,即利用IdP中每个用户的任何数据来预填充调查。然后,可以在调查本身或报告中使用这些数据。
开始之前你需要什么
如果您组织中不是IT专业人士,请访问一个;你需要他或她的帮助来解决这个问题。
接下来,你将需要IdP中的以下成分;您的IT专业人员可以帮助您。
实体ID- 这是您IDP实体的全局唯一URL。这就像我们,服务提供商的邮寄地址,用于联系IDP。不知道去哪里找?了解更多内容SSO术语表.
登录URL- 这是登录IDP的URL / String。登录URL通常与实体ID URL非常相似。这是我们将发送SAML请求的地方。
SSL /签名证书-我们将使用您的SSL证书来加密通过SAML来回发送的数据。你需要从你的IdP上传你的SSL证书。不知道去哪里找?了解更多内容SSO术语表.
炼金术店
你一定是帐户管理员在Alchemer中才能访问这些设置。
- 去帐户>集成>第三方集成单击“SSO应答者”选项后的“配置”按钮。
- 给您的SSO集成内部名称.
- 选择身份验证类型>允许受访者进行调查.如果您愿意,可以选择to选项强制所有新调查使用此SSO进行身份验证.
- 在下面SAML设置, 选择名称ID策略IdP将在SAML断言中提供给Alchemer的格式。你的选择是未指明和电子邮件.某些IDP不允许通过电子邮件地址通过未指明格式。
- 下一个选择你是否愿意从身份提供程序元数据中提取SAML设置或手动输入SAML设置.
- 为了使用选项从身份提供程序元数据中提取SAML设置您的元数据需要在某个地方托管,以便您可以为我们的系统提供访问和解析它的URL。
- 在托管的元数据XML文件中输入URL身份提供者元数据URL场地。
- 在托管的元数据XML文件中输入URL身份提供者元数据URL场地。
- 如果希望手动输入SAML设置,请填充实体ID那登录URL,SSL /签名证书从你的IdP。这些字段是必需的。
手动设置提示:
这是你的证书文件(.crt)可从SSL颁发者处下载的IdP。- 文件必须包含BEGIN和END标记。结果应该如下所示:
-----BEGIN CERTIFICATE-----(您的主SSL证书:your_domain_name.crt) -----END CERTIFICATE----- . pem
- 文件必须是Base64编码。
- 使用这个SSL Checker.验证您的文件。
- 如果您的文件中还包含“中间”或“根”证书链,那也没关系,只要它包含域的主证书即可。
- 文件必须包含BEGIN和END标记。结果应该如下所示:
- 为了使用选项从身份提供程序元数据中提取SAML设置您的元数据需要在某个地方托管,以便您可以为我们的系统提供访问和解析它的URL。
- 完成SAML设置后,单击保存并获得元数据.下列服务提供商元数据XML将提供给您,供您在国内流离失所者设置.
整合不成功呢?
如果从Metadata拉出的选项不起作用,我们建议尝试手动设置选项。如果你已经尝试过两次,也没有成功检查我们的故障排除提示为了常见的失败原因。 - 下一步,在调查设置你可以选择从你的IdP传递信息到你的调查。
如果你希望传递所有的信息,你的IdP设置发送给炼金术师,选择选项使用所有属性.
如果你愿意仅使用特定属性,完成IDP设置后返回此步骤。一旦您设置了如下所述发送的属性IdP Setup Steps的步骤8在本教程的第节中,您已经准备好从IdP设置数据属性,希望将这些属性存储在Alchemer中,以便在调查和报告中使用。点击保存当您完成添加要存储的所有属性时。
现在,您已经准备好idp侧安装了!
IdP-Side设置
无论你的具体的IdP供应商,在IdP方面的设置需要:
- 将Alchemer中用户电子邮件地址作为名称ID传递的索赔规则。
- (可选)可以发送来自属性的额外数据来填充调查字段。了解更多关于填充测量场.
有关Active Directory的IDP侧设置的分步示例(AD FS)
这些设置说明将引导您完成Active Directory (AD FS)中SSO设置的基本设置。
启动AD FS管理控制台.然后,去信任关系>信赖方信任>增加信赖方信任. 这将打开添加依赖方信任向导.点击开始.
选择了导入网上公布的依托方数据选项并复制并粘贴您的SP元数据URL的联邦元数据地址场地。点击下一个.
保留多因素身份验证的默认选项,单击下一个.
在下一个屏幕上留下了选项允许所有用户访问此依赖方选中并单击下一个.
查看您的设置并单击下一个.
在下一个屏幕上留下了选项打开“编辑索赔规则”对话框选中并单击关闭.
这将带你到编辑索赔规则对话框您需要添加两个规则。单击开始添加规则.
在索赔规则模板下拉菜单,选择将LDAP属性作为索赔发送点击下一个.
我们将通过alchemer中的用户电子邮件地址作为名称ID声明类型所以如此命名规则。
挑选活动目录在里面属性存储下拉菜单。
挑选E-Mail-Addresses(或IDP中的字段与alchemer中的用户电子邮件匹配)LDAP属性在传出中的下拉菜单和名称ID中的申请类型下拉列表并单击完成和申请。
现在,如果您希望将IDP的数据属性发送到alchemer,以便在报告中的调查中存储并用于调查中的时间。
设置这些属性以从IDP发送到炼金工,转到AD FS >信任关系>依赖方信任.找到并右键单击您的炼金术师依赖方信任并选择编辑索赔规则。。。
点击添加规则......
选择索赔规则模板; 这通常是将LDAP属性作为索赔发送.点击下一个
添加声明规则名称.挑选活动目录从属性存储菜单。现在,您已经准备好开始选择您希望发送给炼金术师的属性。从第一个下拉菜单中选择属性,在第二个字段中键入要发送给Alchemer的键(字段名)。冲洗并重复。点击完成然后申请当您要发送的所有字段时都会添加。
现在,回到炼金术侧设置的第7步设置属性以存储此信息!
关于维护您的SSO集成的重要说明
由于我们需要定期更新用于为SSO创建SSL连接的证书,我们建议您进行检查,以便您的SSO集成是无缝的。一旦成功设置了集成,一个简单的脚本,可以检查集成设置和我们的SP元数据URL中的元数据之间的差异,并因此处理对集成的更新可确保服务中没有中断。
在调查中设置SSO身份验证
如果您选择了选项强制所有新调查使用此SSO进行身份验证您的调查将全部完成。
如果未选择此选项,则需要手动设置。要执行此操作,请转到工具>响应设置并检查选项一种Utthenticate受访者在您的系统上使用他们的登录凭据.如果为调查应答者身份验证设置了多个SSO集成,则需要在下拉菜单中选择它。点击保存设置.
当您返回“构建”选项卡时,您将看到正在传递到您的调查中的SSO数据。
在调查中使用SSO数据属性
如果您将数据属性与每个调查应答者一起传入,则默认情况下,该数据将用于报告目的。但你也可以在调查中引用这些数据。使用合并代码您可以动态显示和使用每个受访者的数据来个性化调查。
使用SSO合并代码自定义调查文本
使用合并代码您可以创建自定义消息以个性化调查体验。
在整个调查的任何文本字段中,您将看到编辑器工具栏中提供的“合并代码”帮助器。单击此项并滚动到先进的节并选择SSO变量.
这将插入一个默认的合并代码。您需要用您的属性名替换xxx,就像调查顶部的变量列表中所看到的那样。
当受访者访问您的调查时,此合并代码将在您的IdP中填充其用户配置文件中的值。
使用SSO合并代码预先填充问题
您还可以预先填充您在IDP中的数据进入问题。
要将其设置为编辑您的问题并转到布局标签。滚动到默认答案字段并单击链接到插入合并代码.滚动到先进的节并选择SSO变量.
这将插入一个默认的合并代码。您需要用您的属性名替换xxx,就像调查顶部的变量列表中所看到的那样。
报告SSO数据属性
您可以在报告中报告您的SSO数据属性。为此,请单击插入按钮并选择URL、SSO和隐藏值.然后从中选择数据属性SSO属性部分的下拉菜单。
有一些可用图表类型用于SSO Attribute元素。
兼容性
此功能与以下勘测分布方法不兼容:
- 离线模式
- 二维码
- Kiosk模式(在线)
- 嵌入式调查
常见问题
如何与沙箱环境集成?
您可以根据需要设置尽可能多的SSO集成帐户>集成>第三方集成. 要使用沙盒环境测试SSO,只需在此处设置单独的集成。
调查对象的经历是怎样的?
如果您的调查受访者在访问调查链接时已登录到您的IdP,则调查过程将是无缝的。如果他们没有登录到您的IdP,他们将被带到IdP登录页面。一旦他们登录,他们将被重定向到调查。
SSO身份验证如何使用电子邮件广告系列链接?保存并继续链接?编辑链接?
如果您使用的是电子邮件广告系列分发您的调查或已启用保存并继续您可能想知道,当受访者使用这些链接返回调查时,身份验证是否有效;好消息是,确实如此!不管应答者返回到哪个页面,在访问调查的任何时候都需要SSO身份验证!这也包括编辑链接.
值得注意的是,只有用户将能够重新认证回响应。尝试验证与其用户无关的响应时,所有其他用户将收到错误。
如果调查对象在未登录IdP的情况下进行调查,会发生什么情况?
他们将被带到IdP登录页面。一旦他们登录,他们将被重定向到调查。
我可以将调查数据发送回我的IDP吗?
不
Alchemer能否提供SAML服务提供商元数据文件?
是的。下面是元数据XML的一个示例。请注意,每个客户的元数据是不同的;当您设置SSO并输入设置时,将生成专门用于设置的元数据文件。
Alchemer的SAML可以使用SAML IdP元数据文件吗?
是的。
Alchemer在SAML断言中需要哪些属性?
NameID必须位于断言的主题中。
炼金术师有一个测试身份联盟的平台吗?
不
您的SP支持SAML单注销吗?
不
您的SP是否支持在用户会话终止后注销重定向?
不
您的SP是否签署了它发送到SAML IDP的身份验证(authn)请求?
不
您的SP是否需要SAML IDP发出的断言的签名和/或加密?
是的,需要签名。不接受加密断言。
解释SaaS应用程序使用的用户授权机制。
用户名和密码表单或SSO。
您的SaaS应用程序是否可以从SAML断言接受授权(角色成员身份)数据?
不,我们分配它。
故障排除
我输入了实体ID、登录URL并上传了我的证书,但我的集成没有设置。我做错了什么?
通常这是由于证书无效。确保您正在上传有效的.crt文件。文件必须是Base64编码,并且必须包含开始和结束标记。
结果应该如下所示:
-----BEGIN CERTIFICATE-----(您的主SSL证书:your_domain_name.crt) -----END CERTIFICATE----- . pem
使用这个SSL Checker.验证您的文件。
如果您的实体ID或登录URL不正确,您将收到一个错误。
此错误的内容变化,因此如果在设置期间收到错误,请检查两个这些字段是否正确地填充。
SSO术语表
Active Directory联合服务(AD FS)
微软的国内流离失所者的软件。
实体ID
这是IdP实体的全局唯一URL/字符串。这就像一个邮寄地址,我们,服务提供商,用来联系您的IdP。
您的实体ID可以在AD FS管理控制台中通过右键单击AD FS文件夹并选择编辑联合身份验证服务属性。
网址联合服务标识符场地。
身份提供者(IDP)
用户名和密码的真理来源。
登录URL
这是登录IDP的URL。登录URL通常与实体ID URL非常相似。这是我们将发送SAML请求的地方。
名称ID
唯一字符串以识别用户。向alchemer发送名称ID时,我们建议您是他们的电子邮件地址。
服务提供商(SP)
通过IdP访问的基于web的应用程序。
安全断言标记语言(SAML)
允许安全web域交换用户身份验证和授权数据的XML标准。使用SAML,在线服务提供商可以联系单独的在线身份提供商,以验证试图访问安全内容的用户。
单点登录(SSO)
提供伙伴公司,可以完全控制托管用户帐户的授权和身份验证,可以访问基于Web的应用程序。
SSL证书
这是您的IDP的证书文件(.crt),可以从SSL发布者下载。文件必须是Base64编码。注意:如果您在其中的文件中也有“中间”或“root”证书链,那很好,只要它具有包含的域的主要证书。
用户主体名称(UPN)
邮件地址格式的系统用户名。