Cấu hình SSO SAML hoặc OIDC với Google Workspace, Azure AD, AWS IAM Identity Center, Okta và nhiều hơn nữa
Single Sign-On cho phép nhóm của bạn xác thực vào CloudThinker bằng nhà cung cấp danh tính hiện có — không cần mật khẩu riêng, tự động cấp phép người dùng và hủy cấp phép tập trung khi ai đó rời đi.
SSO khả dụng trên gói Scale, Scale + và Enterprise. Để bắt đầu, điều hướng đến Organization Settings → Security → SSO và nhấp Add Connection.
Truy cập admin.google.com → Apps → Web and mobile apps → Add app → Add custom SAML app.
2
Đặt tên ứng dụng
Đặt tên là CloudThinker và nhấp Continue.
3
Tải xuống siêu dữ liệu IdP
Trên màn hình Google IdP information, tải xuống IdP metadata XML hoặc ghi lại:
SSO URL (Single Sign-On URL)
Entity ID (https://accounts.google.com/o/saml2?idpid=...)
Certificate (tải xuống chứng chỉ X.509)
Nhấp Continue.
4
Nhập thông tin SP CloudThinker
Sao chép các giá trị từ CloudThinker → Settings → Security → SSO → SP Metadata:
Trường Google
Giá trị CloudThinker
ACS URL
Dán ACS URL từ CloudThinker
Entity ID
Dán SP Entity ID từ CloudThinker
Name ID format
EMAIL
Name ID
Basic Information > Primary email
Nhấp Continue.
5
Cấu hình ánh xạ thuộc tính
Thêm các ánh xạ thuộc tính sau:
Thuộc tính Google Directory
Thuộc tính ứng dụng
Primary email
email
First name
firstName
Last name
lastName
Nhấp Finish.
6
Bật ứng dụng
Trong cài đặt ứng dụng, đặt quyền truy cập thành On for everyone (hoặc nhắm đến các đơn vị tổ chức cụ thể).
7
Hoàn tất thiết lập trong CloudThinker
Quay lại trình hướng dẫn SSO của CloudThinker, dán vào:
Entity ID từ Google
SSO URL từ Google
Certificate (dán nội dung chứng chỉ X.509)
Nhấp Create Connection rồi Test để xác minh.
Dùng trường Import trong CloudThinker để dán URL siêu dữ liệu IdP Google — tính năng này tự động điền Entity ID, SSO URL và Certificate chỉ trong một bước.
Trong Azure Portal, vào Microsoft Entra ID → Enterprise applications → New application → Create your own application.Đặt tên là CloudThinker, chọn Integrate any other application you don’t find in the gallery và nhấp Create.
2
Thiết lập Single Sign-On
Mở ứng dụng mới → Single sign-on → SAML.
3
Nhập cấu hình SAML cơ bản
Nhấp Edit trên Basic SAML Configuration và điền từ SP Metadata của CloudThinker:
Trường Azure
Giá trị CloudThinker
Identifier (Entity ID)
Dán SP Entity ID
Reply URL (ACS URL)
Dán ACS URL
Sign on URL
Giống ACS URL
Lưu.
4
Cấu hình thuộc tính & claim
Trong Attributes & Claims, xác nhận claim emailaddress ánh xạ tới user.mail. Tùy chọn thêm:
firstName → user.givenname
lastName → user.surname
5
Tải xuống Federation Metadata
Trong SAML Signing Certificate, tải xuống Federation Metadata XML hoặc sao chép:
App Federation Metadata URL (khuyến nghị — dùng để tự động nhập vào CloudThinker)
Certificate (Base64)
Login URL (SSO URL)
Azure AD Identifier (Entity ID)
6
Gán người dùng và nhóm
Vào Users and groups → Add user/group và gán những người nên có quyền truy cập CloudThinker.
7
Hoàn tất thiết lập trong CloudThinker
Trong bước Cấu hình IdP của CloudThinker, dùng trường Import để dán App Federation Metadata URL — tính năng này tự động điền tất cả trường. Hoặc nhập thủ công:
Trong Okta Admin Console, vào Applications → Applications → Create App Integration → SAML 2.0.
2
Cài đặt chung
Đặt tên ứng dụng là CloudThinker và nhấp Next.
3
Cấu hình cài đặt SAML
Điền từ SP Metadata của CloudThinker:
Trường Okta
Giá trị CloudThinker
Single sign-on URL
Dán ACS URL
Audience URI (SP Entity ID)
Dán SP Entity ID
Name ID format
EmailAddress
Application username
Email
4
Thêm câu lệnh thuộc tính
Trong Attribute Statements, thêm:
Tên
Giá trị
email
user.email
firstName
user.firstName
lastName
user.lastName
5
Lấy siêu dữ liệu IdP
Sau khi lưu, vào tab Sign On của ứng dụng → phần SAML Signing Certificates → nhấp Actions → View IdP metadata để lấy URL XML siêu dữ liệu.Hoặc sao chép trực tiếp:
Identity Provider Single Sign-On URL
Identity Provider Issuer
X.509 Certificate
6
Gán người dùng hoặc nhóm
Vào tab Assignments và gán người dùng hoặc nhóm nên có quyền truy cập.
7
Hoàn tất thiết lập trong CloudThinker
Trong bước Cấu hình IdP của CloudThinker, dán URL siêu dữ liệu Okta vào trường Import, hoặc nhập thủ công:
Bước 3 — Cấu hình thông tin IdP trong CloudThinker
Sau khi tạo ứng dụng SAML trong IdP, quay lại CloudThinker và hoàn tất bước Cấu hình IdP:
Trường
Tìm ở đâu
Display Name
Chọn nhãn bất kỳ (ví dụ: “Okta SAML”)
Entity ID
Định danh entity của IdP (đôi khi gọi là “Issuer”)
SSO URL
URL endpoint single sign-on của IdP
Certificate
Chứng chỉ ký X.509 từ IdP (mã hóa base64)
SLO URL
(Tùy chọn) Endpoint đăng xuất một lần — chỉ cần nếu bạn muốn người dùng đăng xuất khỏi IdP khi đăng xuất khỏi CloudThinker
NameID Format
Để là “Email Address” trừ khi IdP yêu cầu định dạng khác
Nếu IdP cung cấp URL hoặc file XML siêu dữ liệu, dùng trường Import ở trên cùng để tự động điền Entity ID, SSO URL và Certificate — tiết kiệm thời gian và tránh lỗi sao chép.
Trong Azure Portal → Microsoft Entra ID → App registrations → New registration.Đặt tên là CloudThinker. Trong Redirect URI, chọn Web và dán redirect URI từ OIDC SP Metadata của CloudThinker.
2
Tạo Client Secret
Vào Certificates & secrets → New client secret. Sao chép Value ngay lập tức — nó sẽ không hiển thị lại.
Sau khi xác minh, bạn có thể yêu cầu tất cả người dùng xác thực qua SSO:
Vào Organization Settings → Security → SSO
Bật Enforce SSO
Người dùng sẽ được chuyển hướng đến IdP khi đăng nhập tiếp theo — đăng nhập bằng email/mật khẩu bị tắt
Đảm bảo ít nhất một tài khoản Owner hoạt động được với SSO trước khi bắt buộc. Nếu SSO bị lỗi sau khi bắt buộc, Owner có phương thức truy cập dự phòng có thể tắt nó.
CloudThinker tự động cấp phép người dùng khi đăng nhập SSO lần đầu bằng các thuộc tính email, firstName và lastName từ IdP. Người dùng mới được gán vai trò Developer theo mặc định — bạn có thể thay đổi điều này trong cài đặt SSO.
Kiểm tra lại ACS URL bạn đã nhập trong IdP khớp chính xác với những gì CloudThinker hiển thị — bao gồm giao thức (https://) và không có dấu gạch chéo ở cuối.
Thuộc tính không ánh xạ (tên hiển thị là email)
Xác nhận IdP đang gửi thuộc tính firstName và lastName. Xem bảng ánh xạ thuộc tính cho nhà cung cấp của bạn ở trên.
Lỗi xác thực chứng chỉ
Đảm bảo bạn đã sao chép toàn bộ chứng chỉ X.509 bao gồm cả header -----BEGIN CERTIFICATE----- và -----END CERTIFICATE-----. Nếu IdP đã xoay vòng chứng chỉ, hãy cập nhật nó trong cài đặt SSO của CloudThinker.
Người dùng không thể đăng nhập sau khi bắt buộc SSO
Một Owner có thể tắt bắt buộc SSO tại Organization Settings → Security → SSO bằng thông tin xác thực dự phòng. Kiểm tra ứng dụng IdP đã được gán cho tất cả người dùng bị ảnh hưởng.
Lỗi 'Audience mismatch' hoặc 'Entity ID mismatch'
SP Entity ID trong IdP phải khớp chính xác với SP Entity ID hiển thị trong SP Metadata của CloudThinker — phân biệt chữ hoa/thường.