Hướng dẫn tạo và cấu hình một ứng dụng xác thực SAML tùy chỉnh trên nền tảng Anycross Console của Larksuite (Identity Provider – IdP) để liên kết với hệ thống Mobio.
Lợi ích/Giá trị (Tại sao bạn cần tính năng này?): Việc thiết lập này giúp kết nối trực tiếp hệ sinh thái tài khoản của Larksuite với Mobio. Larksuite sẽ cấp chứng chỉ số (Metadata) và tự động đồng bộ định danh, giúp nhân sự công ty thao tác đăng nhập một chạm vào Mobio một cách an toàn mà không cần nhập lại mật khẩu.
Đối tượng sử dụng: Quản trị viên hệ thống có quyền thiết lập trên Larksuite (Lark Admin).
2. Giải thích Thuật ngữ & Thông số
Anycross Console: Phân hệ chuyên sâu dùng để quản lý tích hợp, ứng dụng và quyền danh tính (Identity) của nền tảng Larksuite.
Login callback URL: Đường dẫn nhận dữ liệu đăng nhập sau khi xác thực. Trên hệ thống Mobio, thông số này tương đương với tên gọi Assertion Consumer Services (ACS) URL).
Metadata file: Tệp tin cấu hình đóng gói toàn bộ chứng chỉ bảo mật và thông số định danh do Larksuite tạo ra để bạn mang sang tải lên hệ thống Mobio.
3. Điều kiện tiên quyết (Prerequisite)
Điều kiện phân quyền: Tài khoản thao tác bắt buộc phải có quyền Quản trị viên truy cập được vào phân hệ Anycross Console của Larksuite.
Dữ liệu đầu vào: Đã thao tác trên hệ thống Mobio ở bước Cấu hình đăng nhập SSO bằng SAML và copy sẵn 2 thông số: Service Provider (SP) Entity ID và Assertion Consumer Services (ACS) URL.
4. Các bước thực hiện
Toàn bộ các bước dưới đây được thực hiện trên giao diện quản trị của Larksuite (Anycross Console), KHÔNG phải trên Mobio.
Phần 1: Khởi tạo ứng dụng trên Larksuite
Bước 1: Truy cập vào Anycross Console của Larksuite.
Bước 2: Ở góc dưới cùng bên trái màn hình (khu vực Switch module), click chọn Identity -> Click nút Create app để tạo ứng dụng mới.
Phần 2: Khai báo thông số và Lấy File Metadata
Bước 3: Tại phần Basic information, nhập Tên ứng dụng vào ô App name (Ví dụ: Mobio Login).
Bước 4: Tại phần Authorization configuration, dán đường dẫn của Mobio vào hệ thống:
Login callback URL: Dán đường dẫn ACS URL (vừa lấy từ Mobio) vào đây.
Bước 5: Click vào Expand (Mở rộng) ở mục More configurations, chọn giao thức SAML và Bật (ON) cấu hình này lên.
Bước 6: Nhìn sang thanh menu bên phải màn hình, tại mục SAML 2.0 protocol endpoint, tìm đến dòng Metadata file và click Download File → Hệ thống tải tệp cấu hình về máy. Hãy giữ tệp này để cấu hình trên Mobio.
Phần 4: Map thuộc tính và Phân quyền
Bước 7: Tại mục Custom attributes of SAML Response, bạn tiến hành khai báo trường dữ liệu định danh:
Cột Name: Gõ email (Lưu ý gõ chữ thường).
Cột Preset value: Chọn trường thông tin email tương ứng của nhân sự trên hệ thống Larksuite.
Bước 8: Chuyển sang tab Access Entitlements (Quản lý quyền truy cập) ở góc trên -> Tại mục Allowed members, chọn All members (Tất cả nhân viên) hoặc chỉ định các cá nhân/phòng ban cụ thể được phép sử dụng ứng dụng này.
5. Case Study/ Quy tắc vận hành
Quy tắc Cấp quyền (Access Entitlements) của Larksuite: Giống như các nền tảng bảo mật khác, Larksuite áp dụng nguyên tắc “Zero Trust” (Không tin cậy mặc định). Dù bạn cấu hình mọi đường dẫn chính xác đến đâu, nếu ở Bước 8 bạn bỏ quên việc thêm thành viên vào danh sách Allowed members, ứng dụng này coi như bị vô hiệu hóa đối với người dùng cuối. Bất kỳ ai cố gắng click đăng nhập qua SSO từ Mobio sẽ bị Lark chặn và báo lỗi không có quyền truy cập ứng dụng.
6. Các câu hỏi thường gặp (FAQ)
Chưa có thông tin cho mục này.
7. Bước tiếp theo
Sau khi đã có tệp Metadata file tải về từ Bước 6, bạn hãy quay trở lại hệ thống Mobio để hoàn tất cấu hình đăng nhập SSO bằng SAML.
