Konfiguracja logowania jednokrotnego (SAML i OIDC)
CalendarBridge pozwala administratorom organizacji włączyć logowanie jednokrotne, dzięki czemu użytkownicy logują się do CalendarBridge za pomocą tej samej tożsamości, której już używają do wszystkiego innego. Ten przewodnik obejmuje oba obsługiwane protokoły, dokładne wartości dostawcy usługi do przekazania dostawcy tożsamości, mapowania atrybutów, testowanie oraz rozwiązywanie problemów.
Logowanie jednokrotne w skrócie
Logowanie jednokrotne (SSO) pozwala Twojemu zespołowi uwierzytelniać się w CalendarBridge za pośrednictwem dostawcy tożsamości (IdP) Twojej organizacji, zamiast oddzielnego hasła CalendarBridge. Gdy SSO jest wymuszone, każdy użytkownik z Twojej zweryfikowanej domeny jest przekierowywany do Twojego IdP w celu zalogowania, a dostęp można przyznawać lub odbierać centralnie.
- Obsługiwane protokoły: SAML 2.0 (inicjowany przez SP) oraz OpenID Connect (OIDC) / przebieg OAuth 2.0 Authorization Code.
- Edycja CalendarBridge: SSO i SCIM są dostępne w planach Grupowych (Organizacyjnych) CalendarBridge. Konfiguruje się je w portalu Zarządzanie organizacją przez administratora organizacji. Zobacz Typy licencji konta grupowego oraz Licencjonowanie poniżej.
- Architektura: CalendarBridge to wielodostępowa aplikacja SaaS. SSO konfiguruje się per zweryfikowana domena, więc każdy klient posiada i kontroluje własne połączenie z dostawcą tożsamości. CalendarBridge pobiera i ufa wyłącznie metadanym/certyfikatowi IdP, które podasz dla swojej domeny.
Obsługiwani dostawcy tożsamości
CalendarBridge współpracuje z dowolnym zgodnym ze standardami dostawcą tożsamości SAML 2.0 lub OIDC. Portal Zarządzanie organizacją zawiera wbudowane przewodniki konfiguracji krok po kroku dla następujących:
| Dostawca tożsamości | SAML 2.0 | OpenID Connect | Dokumentacja dostawcy |
|---|---|---|---|
| Microsoft Entra ID (Azure AD) | Tak | Tak | Konfiguracja SSO w Entra ID |
| Okta | Tak | Tak | Utwórz aplikację SAML/OIDC w Okta |
| Google Workspace | Tak | — | Skonfiguruj niestandardową aplikację SAML |
| JumpCloud | Tak | — | SSO z niestandardową aplikacją SAML |
| Dowolny inny IdP SAML 2.0 / OIDC | Tak | Tak | Użyj ogólnych wartości podanych w tym artykule. |
Licencjonowanie
Logowanie jednokrotne (SSO) i provisioning SCIM są wliczone w subskrypcje Grupowe (Organizacyjne) CalendarBridge. Ze strony CalendarBridge nie ma osobnej opłaty za dodatek za włączenie SSO. Należy pamiętać, że niektórzy dostawcy tożsamości udostępniają swoje funkcje provisioningu/SCIM tylko w określonych edycjach — na przykład automatyczny provisioning w Google Workspace wymaga Enterprise Standard, Enterprise Plus lub Education Plus. Automatyczny provisioning użytkowników w Microsoft Entra ID wymaga licencji Microsoft Entra ID P1 lub P2 w Twoim dzierżawcy.
Kto może konfigurować SSO (dostęp oparty na rolach)
Tylko administrator organizacji CalendarBridge może wyświetlać lub zmieniać ustawienia SSO i SCIM. Zwykli członkowie nigdy nie widzą tych elementów sterujących. Aby zarządzać SSO, musisz:
- Być administratorem konta grupowego (zobacz Przegląd portalu administratora grupy), oraz
- Mieć co najmniej jedną zweryfikowaną domenę na koncie. SSO jest powiązane ze zweryfikowaną domeną — zobacz Łączenie autoryzowanych domen.
Otwórz kartę Logowanie jednokrotne
-
Otwórz portal Zarządzanie organizacją
W panelu CalendarBridge kliknij Zarządzaj swoją organizacją lub przejdź bezpośrednio na calendarbridge.com/dashboard/organization.
-
Wybierz kartę Logowanie jednokrotne
Wybierz kartę Logowanie jednokrotne. Jeśli jeszcze nie skonfigurowałeś SSO, zobaczysz przycisk Skonfiguruj SSO.
-
Kliknij Skonfiguruj SSO
Wybierz protokół (SAML lub OIDC), przypisz zweryfikowaną domenę, do której odnosi się ta konfiguracja, i wybierz dostawcę tożsamości, aby wyświetlić wbudowany przewodnik konfiguracji specyficzny dla dostawcy.
Konfiguracja SAML 2.0
Konfiguracja SAML to dwustronna wymiana: podajesz wartości dostawcy usługi (SP) CalendarBridge swojemu IdP, a w zamian podajesz CalendarBridge metadane swojego IdP.
Wartości dostawcy usługi do wprowadzenia w Twoim IdP
To są wartości, które wklejasz do dostawcy tożsamości podczas tworzenia aplikacji CalendarBridge. Dokładne, gotowe do skopiowania wartości dla Twojego konta są wyświetlane z przyciskami Kopiuj na karcie Logowanie jednokrotne — zawsze kopiuj je z portalu, zamiast wpisywać ręcznie.
| Pole (etykieta różni się w zależności od IdP) | Wartość |
|---|---|
| Entity ID / Audience URI / SP Entity ID | urn:amazon:cognito:sp:<your-pool-id> — skopiuj dokładną wartość z karty SSO. |
| ACS URL / Reply URL / Single sign-on URL | https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — skopiuj dokładną wartość z karty SSO. |
| Format Name ID | EmailAddress (trwały adres e-mail) |
| Powiązanie (Binding) | HTTP-POST dla asercji; HTTP-Redirect dla żądania. |
Wymagane mapowania atrybutów
Zmapuj te oświadczenia (claims) w swoim IdP. Wprowadź nazwę atrybutu aplikacji dokładnie tak, jak pokazano — są one również wymienione z przyciskami kopiowania w portalu.
| Atrybut aplikacji (wprowadź dokładnie) | Mapowany z (w Twoim IdP) |
|---|---|
email | Podstawowy e-mail / Email / user.mail |
name | Imię / given name / user.givenname |
Microsoft Entra ID (Azure AD) — SAML
-
Utwórz aplikację
W centrum administracyjnym Microsoft Entra przejdź do Aplikacje dla przedsiębiorstw → Nowa aplikacja → Utwórz własną aplikację → „Zintegruj dowolną inną aplikację, której nie znajdujesz w galerii”.
-
Otwórz Logowanie jednokrotne → SAML
W Podstawowa konfiguracja SAML wprowadź:
- Identyfikator (Entity ID): Entity ID z karty SSO CalendarBridge.
- Reply URL (ACS): ACS URL z karty SSO CalendarBridge.
-
Skonfiguruj atrybuty i oświadczenia
Dodaj oświadczenia
emailinamez mapowań atrybutów powyżej i ustaw Name ID na adres e-mail użytkownika. -
Skopiuj App Federation Metadata URL
W sekcji Certyfikat podpisujący SAML skopiuj App Federation Metadata URL (kończy się na
/federationmetadata/2007-06/federationmetadata.xml). Użycie adresu URL — zamiast przesyłania statycznego pliku XML — pozwala CalendarBridge automatycznie wychwytywać rotacje certyfikatów. -
Przypisz użytkowników, następnie dokończ w CalendarBridge
Przypisz użytkowników lub grupy, które powinny mieć dostęp, a następnie wróć do karty SSO CalendarBridge, wklej adres URL metadanych i zapisz.
Okta, Google Workspace, JumpCloud i inne — SAML
Przebieg jest taki sam dla każdego IdP: utwórz niestandardową aplikację SAML, wklej wartości dostawcy usługi, dodaj mapowania atrybutów, a następnie przekaż CalendarBridge metadane IdP. Portal wyświetla dokładne ścieżki menu dla Okta, Google Workspace i JumpCloud po wybraniu danego dostawcy. Metadane IdP możesz podać na dwa sposoby na karcie SSO CalendarBridge:
- Metadata URL (zalecane) — wklej adres URL metadanych federacji IdP; CalendarBridge pobiera go ponownie, dzięki czemu rotacje certyfikatów są wychwytywane automatycznie.
- Metadata XML — prześlij plik
.xmlz metadanymi IdP, jeśli Twój dostawca nie publikuje adresu URL.
Konfiguracja OpenID Connect (OIDC)
Dla IdP, które wolisz połączyć przez OIDC/OAuth 2.0, CalendarBridge używa przebiegu Authorization Code. Utworzysz aplikację Web w swoim IdP i podasz CalendarBridge trzy wartości.
Redirect URI do wprowadzenia w Twoim IdP
| Pole | Wartość |
|---|---|
| Redirect URI / Sign-in redirect URI (platforma: Web) | https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — skopiuj dokładną wartość z karty SSO. |
Wartości do wprowadzenia w CalendarBridge
| Pole CalendarBridge | Gdzie znaleźć je w Twoim IdP |
|---|---|
| Discovery URL | Dokument konfiguracji OpenID Twojego IdP, np. https://<your-idp>/.well-known/openid-configuration. |
| Client ID | Z utworzonej przez Ciebie rejestracji aplikacji. |
| Client Secret | Sekret, który generujesz w rejestracji aplikacji. |
Żądane uprawnienia (zakresy) i dlaczego
CalendarBridge żąda tylko minimalnych, standardowych zakresów OIDC potrzebnych do identyfikacji logującego się użytkownika. Nie żąda dostępu do poczty, plików ani danych kalendarza za pośrednictwem połączenia SSO.
| Zakres | Dlaczego jest żądany (uzasadnienie biznesowe) |
|---|---|
openid | Wymagany do przeprowadzenia uwierzytelniania OpenID Connect i otrzymania tokenu ID. |
email | Używany jako unikalny identyfikator użytkownika do dopasowania go do Twojej organizacji CalendarBridge i zweryfikowanej domeny. |
profile | Odczytuje podstawowy profil (imię), aby uzupełnić wyświetlaną nazwę użytkownika przy pierwszym logowaniu. |
Microsoft Entra ID — OIDC
-
Zarejestruj aplikację
W centrum administracyjnym Microsoft Entra przejdź do Rejestracje aplikacji → Nowa rejestracja.
-
Dodaj redirect URI
Dodaj redirect URI platformy Web ustawiony na redirect URI OIDC CalendarBridge wyświetlany na karcie SSO.
-
Utwórz client secret
W sekcji Certyfikaty i sekrety → Nowy sekret klienta utwórz sekret i natychmiast skopiuj jego wartość.
-
Skopiuj URL wykrywania (metadanych)
W sekcji Przegląd → Punkty końcowe skopiuj adres URL dokumentu metadanych OpenID Connect. Wklej discovery URL, client ID i client secret na kartę SSO CalendarBridge i zapisz.
Wymuszanie SSO dla Twojej domeny
Domyślnie włączenie SSO sprawia, że jest ono dostępne dla użytkowników w domenie. Zaznacz Wymuś SSO w formularzu konfiguracji, aby wymagać go: każdy użytkownik w tej zweryfikowanej domenie musi wówczas logować się za pośrednictwem Twojego IdP, a bezpośrednie logowanie hasłem jest dla niego wyłączone.
Testowanie z użytkownikami pilotażowymi
-
Potwierdź, że konfiguracja jest aktywna
Po zapisaniu karta konfiguracji wyświetla odznakę statusu. Poczekaj, aż będzie wyświetlać Aktywna. Odznaka Oczekująca oznacza, że CalendarBridge nie zweryfikował jeszcze metadanych IdP; odznaka Błąd wyświetla przyczynę bezpośrednio.
-
Przypisz użytkownika pilotażowego w swoim IdP
Przypisz jednego lub dwóch użytkowników testowych do aplikacji CalendarBridge w swoim IdP, ale na razie pozostaw wymuszanie wyłączone.
-
Zaloguj się przez SSO
Poproś użytkownika pilotażowego o zalogowanie się do CalendarBridge przy użyciu e-maila/domeny Twojej organizacji. Powinien zostać przekierowany do Twojego IdP i wrócić do CalendarBridge już zalogowany. Potwierdź, że jego imię i e-mail zostały poprawnie uzupełnione.
-
Wdróż
Gdy pilotaż się powiedzie, przypisz pozostałych użytkowników i, jeśli chcesz, włącz Wymuś SSO.
Rozwiązywanie problemów
Jeśli karta konfiguracji wyświetla status Błąd, komunikat wyświetlany na karcie wyjaśnia konkretną awarię. Częste przypadki:
| Objaw / komunikat | Prawdopodobna przyczyna i rozwiązanie |
|---|---|
| Status utknął na Oczekująca lub „nie można pobrać metadanych” | Adres URL metadanych jest nieosiągalny lub zwrócił dane inne niż XML. Sprawdź, czy adres URL ładuje się w przeglądarce, albo przełącz się na przesyłanie pliku XML z metadanymi. |
| Błąd „Nieprawidłowy podpis” / „certyfikat” | Certyfikat podpisujący IdP uległ rotacji, a przechowywane metadane są nieaktualne. Zapisz ponownie, używając adresu URL metadanych IdP (zalecane), aby rotacje były wychwytywane automatycznie, lub prześlij ponownie aktualny plik XML. |
| Niezgodność „Audience” / „Issuer” | Entity ID / Audience URI w Twoim IdP nie odpowiada dokładnie wartości z karty SSO. Skopiuj ją ponownie z portalu. |
| Użytkownik loguje się, ale imię/e-mail jest puste lub odrzucone | Mapowania atrybutów email i name są brakujące lub źle nazwane. Sprawdź ponownie wymagane mapowania atrybutów — w nazwach rozróżniana jest wielkość liter. |
| „AADSTS50105” / użytkownik nieprzypisany (Entra ID) | Użytkownik nie jest przypisany do aplikacji dla przedsiębiorstw CalendarBridge w Entra ID. Przypisz użytkownika lub jego grupę. |
| Niezgodność Redirect/Reply URL | ACS URL (SAML) lub Redirect URI (OIDC) w Twoim IdP nie odpowiada wartości na karcie SSO. Skopiuj dokładną wartość ponownie. |
Uzyskiwanie pomocy
Jeśli utknąłeś po sprawdzeniu komunikatu o błędzie na karcie konfiguracji i powyższej tabeli rozwiązywania problemów, skontaktuj się z pomocą techniczną CalendarBridge. Dołącz domenę swojej organizacji, protokół (SAML/OIDC), swojego dostawcę tożsamości oraz dokładny komunikat statusu wyświetlany na karcie.
- Skontaktuj się z pomocą techniczną CalendarBridge
- Konfiguracja synchronizacji katalogu SCIM (provisioning) — zautomatyzuj tworzenie i dezaktywację użytkowników po aktywacji SSO.