Hướng dẫn cấu hình SSO tập trung cho ứng dụng nội bộ
Hệ thống Single Sign-On (SSO) và Identity and Access Management (IAM) giúp doanh nghiệp SME quản lý tài khoản nhân viên tập trung. Khi nhân viên đăng nhập một lần, họ có thể truy cập vào tất cả các hệ thống như ERP, File Server, Chat nội bộ mà không cần phải nhớ nhiều mật khẩu khác nhau.
Các bước cấu hình kết nối
Bước 1: Khởi tạo Client trong IAM Dashboard
- Truy cập vào IAM Control Panel của công ty (Ví dụ:
https://sso.yourcompany.local). - Điều hướng tới phần Clients và chọn Create Client.
- Điền thông tin:
- Client ID:
erp-apphoặc tên ứng dụng của bạn. - Client Protocol:
openid-connect(được khuyến nghị). - Access Type:
confidential.
- Client ID:
Bước 2: Cập nhật Redirect URI
Thiết lập URI chuyển hướng hợp lệ để đảm bảo an toàn thông tin:
- Valid Redirect URIs:
https://erp.yourcompany.local/login/callback - Web Origins:
https://erp.yourcompany.local
Bước 3: Lấy Client Secret
Trong tab Credentials, sao chép giá trị Secret Key. Đây là mã khóa bảo mật để ứng dụng xác thực với máy chủ SSO.
Bước 4: Cấu hình biến môi trường trên ứng dụng
Thêm các cấu hình sau vào file cấu hình hoặc biến môi trường của ứng dụng:
SSO_DISCOVERY_URL=https://sso.yourcompany.local/realms/master/.well-known/openid-configuration
SSO_CLIENT_ID=erp-app
SSO_CLIENT_SECRET=your_client_secret_here
Lưu ý về bảo mật (Best Practices)
- MFA (Multi-Factor Authentication): Luôn bật MFA đối với các tài khoản quản trị và nhân viên có quyền truy cập dữ liệu nhạy cảm.
- Hạn dùng Token (Token Lifespan): Đặt thời gian sống Access Token ngắn (ví dụ: 15-30 phút) và sử dụng Refresh Token để tăng tính bảo mật.
- Audit logs: Định kỳ kiểm tra lịch sử đăng nhập để phát hiện các truy cập bất thường.