1. Tổng quan

• Đây là tính năng để thiết lập kết nối SAML 2.0. Tại đây, Mobio sẽ cung cấp cho bạn các thông số định danh của Mobio (để mang sang IdP khai báo), đồng thời là nơi bạn tải lên file cấu hình của IdP để hoàn tất tích hợp.
• Đối tượng sử dụng: Quản trị hệ thống/kỹ thuật viên hoặc nhân sự có quyền bật/tắt cấu hình đăng nhập SSO.

2. Giải thích Thuật ngữ & Thông số

• Thông tin cung cấp bởi Mobio (SP): Bao gồm ACS URL (Đường dẫn nhận dữ liệu đăng nhập) và SP Entity ID (Mã định danh của Mobio). Đây là 2 thông số bạn bắt buộc phải copy để mang sang hệ thống IdP cài đặt.
• File IdP Metadata XML: Tệp chứa toàn bộ chứng chỉ bảo mật và thông số định danh do hệ thống Vendor (Google/Azure…) cấp cho bạn sau khi tạo App thành công.

3. Điều kiện tiên quyết (Prerequisite)

• Phân quyền
  • Trên IdP: Tài khoản thao tác phải có quyền Admin trên Mobio và có quyền quản trị trên hệ thống IdP (Google Workspace/ Microsoft Azure/ Larksuite).
  • Trên Mobio: Phân quyền: Tài khoản Mobio phải được cấp quyền RBAC: DECENTRALIZE_ADMIN mục Cài đặt > Cài đặt doanh nghiệp > Single Sign-On. Xem hướng dẫn Cấu hình phân quyền RBAC tại đây.
• Dữ liệu hệ thống: Đã khai báo và có ít nhất 1 Domain hợp lệ trong danh sách Domain SSO.

4. Các bước thực hiện

Đây là một luồng thao tác qua lại giữa hai hệ thống IdP và Mobio. Vui lòng thực hiện tuần tự theo các bước sau:

Giai đoạn 1: Lấy thông số từ Mobio

• Bước 1: Trên Mobio, truy cập Cài đặt doanh nghiệp → Single Sign-On → Bật phương thức Đăng nhập bằng phương thức single sign-on với SAML 2.0.
• Bước 2: Một popup cấu hình sẽ hiện lên. Kéo xuống mục Thông tin cung cấp bởi Mobio (vai trò SP), nhấn biểu tượng Copy để lấy 2 thông số: Assertion Consumer Services (ACS) URL và Service Provider (SP) Entity ID.

Giai đoạn 2: Cấu hình trên IdP (Bên thứ 3)

• Bước 3: Giữ nguyên popup Mobio, mở một tab trình duyệt mới và truy cập vào hệ thống quản trị của nền tảng bạn đang dùng (Azure/Google/Lark). Dán 2 thông số vừa copy vào cấu hình App trên IdP.
• Bước 4: Hoàn tất tạo App trên IdP và tải File IdP Metadata XML về máy tính.

Hướng dẫn cấu hình chi tiết trên từng nền tảng (IdP): Tùy thuộc vào hệ thống doanh nghiệp đang sử dụng, vui lòng click vào bài viết tương ứng dưới đây để xem chi tiết cách tạo App, dán thông số và lấy file XML:

• Cấu hình ứng dụng SSO bằng SAML trên Microsoft Azure
• Cấu hình ứng dụng SSO bằng SAML trên Google Workspace
• Cấu hình ứng dụng SSO bằng SAML trên Larksuite

Giai đoạn 3: Hoàn tất trên Mobio

• Bước 5: Quay trở lại popup cấu hình SAML đang mở trên Mobio. Tại mục Cài đặt thông tin từ IdP, thực hiện Upload File IdP Metadata XML vừa tải về → Bấm Lưu để hoàn tất cấu hình.

5. Case Study/ Quy tắc vận hành

Use case

Chưa có thông tin cho mục này.

Quy tắc vận hành

• Các thông tin IdP Entity ID, IdP SSO URL và Certificate là bắt buộc. Hệ thống sẽ báo lỗi và không cho lưu nếu bỏ trống.
• Bạn không thể bật công tắc kích hoạt phương thức này nếu chưa cấu hình lưu thành công và chưa map với tối thiểu 1 domain.

6. Các câu hỏi thường gặp (FAQ)

• Q: Tôi lỡ tay tắt popup cấu hình của Mobio trong lúc đang thao tác bên hệ thống Azure thì có sao không?
  • A: Không sao cả. Các thông số ACS URL và SP Entity ID Mobio cung cấp là cố định. Bạn chỉ cần mở lại popup, upload file XML vừa lấy từ Azure lên là được.

7. Bước tiếp theo