Jak prawidłowo skonfigurować SAML Single Sign-On (SSO) w WordPress

W WPBeginner zawsze staraliśmy się ułatwić pracę naszemu zespołowi i użytkownikom. Kiedy skonfigurowaliśmy SAML Single Sign-On (SSO) w WordPress, szybko udowodniło to swoją wartość dla naszego zespołu i poprawiło nasze bezpieczeństwo.

Nasz zespół mógł uzyskać dostęp do wszystkich ich narzędzi za pomocą jednego logowania, a my zyskaliśmy spokój ducha, wiedząc, że nasze bezpieczeństwo jest silniejsze.

SAML SSO to solidne rozwiązanie dla każdej firmy skupionej na wydajności i bezpieczeństwie. Pozwala zespołowi logować się raz, aby uzyskać dostęp do wszystkiego, jednocześnie zachowując kontrolę nad uprawnieniami użytkowników. 

Wiele firm uważa, że SSO pomaga zmniejszyć liczbę zgłoszeń do pomocy technicznej związanych z hasłami i zwiększa produktywność, ułatwiając użytkownikom dostęp do potrzebnych narzędzi.

W tym przewodniku przeprowadzimy Cię przez proces prawidłowego skonfigurowania SAML single sign-on, pomagając Ci zmienić sposób, w jaki Twoja witryna obsługuje logowania.

Co to jest SAML Single Sign-On (SSO)?

SAML Single Sign-On (SSO) pozwala użytkownikom logować się do WordPress przy użyciu danych uwierzytelniających z innego zaufanego serwisu, takiego jak Google Workspace, Okta lub Microsoft Entra ID.

SAML to skrót od Security Assertion Markup Language. Jest to bezpieczny protokół, który pozwala Twojej witrynie WordPress komunikować się z dostawcą tożsamości w celu weryfikacji logowań użytkowników.

Dzięki włączonemu SSO użytkownicy muszą zalogować się tylko raz, aby uzyskać dostęp do wielu aplikacji i platform, bez konieczności każdorazowego wprowadzania oddzielnych nazw użytkowników i haseł.

Jest to szczególnie przydatne dla firm, szkół, witryn członkowskich i zespołów zdalnych, które zarządzają wieloma narzędziami online. Na przykład, w WPBeginner SSO pomaga członkom zespołu bezpiecznie uzyskiwać dostęp do potrzebnych narzędzi za pomocą jednego logowania.

Dlaczego warto używać SAML Single Sign-On w WordPress?

Konfiguracja SAML SSO w WordPress może poprawić zarówno bezpieczeństwo, jak i doświadczenie użytkownika, jednocześnie znacznie ułatwiając zarządzanie kontami.

Oto niektóre z największych korzyści:

• Popraw bezpieczeństwo witryny: SSO zmniejsza ryzyko związane z hasłami i pozwala na stosowanie silniejszych metod uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe (MFA).
• Uprość proces logowania: Użytkownicy potrzebują tylko jednego loginu, aby uzyskać dostęp do wielu narzędzi i witryn.
• Łatwiejsze zarządzanie użytkownikami: Administratorzy mogą kontrolować dostęp i uprawnienia użytkowników z jednego centralnego dostawcy tożsamości.
• Zmniejsz problemy z logowaniem i zgłoszenia do pomocy technicznej: Mniej zapomnianych haseł oznacza mniej zgłoszeń do pomocy technicznej związanych z uwierzytelnianiem.
• Przyspiesz wdrażanie i wycofywanie dostępu: Możesz szybko przyznać lub odebrać dostęp pracownikom, studentom lub członkom zespołu.

Mając to na uwadze, przyjrzyjmy się, jak prawidłowo skonfigurować SAML Single Sign-On (SSO) w WordPress. Możesz skorzystać z poniższych szybkich linków, aby przejść przez samouczek:

Krok 1: Zainstaluj miniOrange SAML Single Sign On

Najprostszym sposobem na włączenie SAML SSO w Twojej witrynie WordPress jest użycie wtyczki miniOrange SAML Single Sign On.

Jest bezpłatna i pozwala połączyć Twoją witrynę z dostawcami tożsamości, takimi jak Google Apps. Wtyczka obsługuje również innych dostawców tożsamości, takich jak Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 i Sharepoint w wersjach płatnych.

Ponadto ta wtyczka umożliwia użytkownikom dostęp do wielu witryn i aplikacji za pomocą jednego logowania. Mając to na uwadze, możesz powtórzyć poniższe kroki dla pozostałych witryn, do których Twój zespół powinien mieć dostęp.

Uwaga: Jeśli prowadzisz sieć WordPress multisite, obsługa multisite jest dostępna w płatnych wersjach wtyczki.

Najpierw musisz zainstalować wtyczkę. Jeśli dopiero zaczynasz przygodę z wtyczkami WordPress, mamy pomocny przewodnik, który krok po kroku przeprowadzi Cię przez proces instalacji wtyczki WordPress.

Po zainstalowaniu wtyczki przejdź do swojego panelu WordPress i wybierz miniOrange SAML 2.0 SSO » Konfiguracja wtyczki.

Następnie przejdź do zakładki „Metadane dostawcy usług”. Pozostaw tę stronę otwartą, ponieważ będziemy potrzebować informacji z niej w następnym kroku.

Krok 2: Połącz swoją witrynę z dostawcą tożsamości

Teraz, gdy wtyczka jest zainstalowana w WordPress, czas połączyć Twoją witrynę z dostawcą tożsamości SAML (SAML IdP).

IdP SAML to usługa, która zarządza kontami użytkowników i uwierzytelnia użytkowników. Pomyśl o tym jak o centralnym centrum, w którym użytkownicy logują się raz, a to logowanie daje im dostęp do różnych aplikacji, w tym do Twojej witryny WordPress.

W tym przykładzie użyjemy Google Apps jako naszego IdP SAML. Jednak aby używać Google Apps jako IdP SAML, będziesz potrzebować konta administratora Google, które różni się od Twojego zwykłego konta Gmail.

Konto administratora Google zarządza użytkownikami i ustawieniami dla Google Workspace Twojej organizacji. Zazwyczaj nie kończy się ono rozszerzeniem @gmail.com.

1. Dostęp do Google Admin Console i dodanie niestandardowej aplikacji SAML

Najpierw przejdź do strony Google Admin Console.

W menu bocznym przejdź do sekcji „Aplikacje” i kliknij „Aplikacje internetowe i mobilne”.

Stąd otwórz menu rozwijane „Dodaj aplikację”.

Następnie wybierz „Dodaj niestandardową aplikację SAML”.

Teraz nadaj swojej niestandardowej aplikacji SAML nazwę (coś w stylu „Niestandardowa aplikacja SAML miniOrange”) i krótki opis (np. „Aplikacja SAML SSO dla WordPress”).

Gdy będziesz zadowolony, kliknij „Kontynuuj”.

2. Pobierz metadane IdP

Tutaj zobaczysz dwie opcje konfiguracji WordPress SSO.

Wybierzemy łatwiejszą opcję (opcja 1), która polega na pobraniu metadanych IdP. Ta metoda jest znacznie szybsza, ponieważ nie będziesz musiał ręcznie wprowadzać metadanych IdP i kopiować certyfikatu x509 później.

Kliknij „Pobierz metadane”, aby rozpocząć.

Następnie przewiń do samego dołu.

Kliknij „Kontynuuj”.

3. Skonfiguruj szczegóły dostawcy usług

Na następnej stronie zobaczysz formularz z danymi Twojego dostawcy usług.

W naszym przypadku jest to nasza witryna WordPress z pomocą miniOrange.

Teraz wróć do swojego pulpitu WordPress, gdzie pozostawiłeś otwartą stronę wtyczki miniOrange na karcie „Service Provider Metadata”.

Przewiń w dół, aby znaleźć informacje o swoim dostawcy usług (ACS URL i Entity ID). Pozostaw tę stronę otwartą, ponieważ będziesz musiał przełączać się między tą stroną a konsolą administracyjną Google.

Teraz wróć do Google Admin Console i wklej swój adres URL ACS w pole „ACS URL” oraz swój identyfikator jednostki w pole „Entity ID”.

Upewnij się, że zaznaczyłeś również pole „Signed response”.

4. Ustaw format Name ID

Przewijając w dół strony, wybierz „EMAIL” dla formatu Nazwy użytkownika i wybierz „Podstawowe informacje > Podstawowy adres e-mail” dla Nazwy użytkownika.

Następnie kliknij „Kontynuuj”.

5. Mapuj atrybuty użytkownika

Następny krok polega na dodaniu pól użytkowników i mapowaniu ich między Google Directory a Twoją witryną WordPress (wtyczka miniOrange).

Jest to zasadniczo jak wybieranie, które informacje z kont Google są przesyłane do Twojej witryny WordPress.

Kliknij „Dodaj mapowanie”, aby rozpocząć. Następnie dodajmy pole „Imię” z Google i zmapujmy je do atrybutu „firstname”.

Możesz dodać inne popularne mapowania, takie jak „Nazwisko” do „lastname” i „Email” do „email”, jeśli chcesz.

Po zakończeniu mapowania pożądanych pól przewiń w dół.

Następnie kliknij „Zakończ”.

6. Aktywuj aplikację dla użytkowników

Teraz przejdziesz do niestandardowej strony aplikacji SAML w konsoli administracyjnej Google.

Ostatnim krokiem jest aktywacja aplikacji dla Twoich użytkowników. Więc śmiało kliknij „WYŁĄCZONY dla wszystkich”.

Teraz po prostu przełącz ją na „WŁĄCZONE dla wszystkich”.

Na koniec kliknij „Zapisz”, aby sfinalizować konfigurację.

Krok 3: Konfiguracja ustawień SAML SSO w WordPress

Wróćmy do strony wtyczki miniOrange SSO w Twoim obszarze administracyjnym WordPress. Teraz skonfigurujemy Twoje ustawienia WordPress SSO.

Teraz przejdź do zakładki „Konfiguracja dostawcy usług” i wybierz „Google Apps”.

Przewiń w dół i przejdź do zakładki „Prześlij metadane IDP”.

Tutaj będziesz musiał wprowadzić nazwę dostawcy tożsamości (prawdopodobnie coś w stylu „GoogleApps”) i przesłać plik XML, który wcześniej pobrałeś z Google Admin Console.

Po wypełnieniu wszystkich pól kliknij „Prześlij”.

Gratulacje! Pomyślnie połączyłeś swojego bloga WordPress z Twoim dostawcą tożsamości SAML Google Apps. Teraz skonfigurujmy dodatkowe ustawienia.

Najpierw przełącz się na kartę „Mapowanie atrybutów/ról”.

Tutaj możesz zdefiniować, jak informacje o użytkowniku z Google Apps są mapowane na konta użytkowników w WordPress.

Przewiń w dół do sekcji „Role Mapping” i wybierz domyślną rolę użytkownika, którą chcesz przypisać nowym użytkownikom logującym się za pomocą SAML SSO.

W tym przykładzie wybraliśmy „Subskrybent”, co jest rolą o niskich uprawnieniach, odpowiednią dla wielu stron internetowych. Kliknij „Aktualizuj”, gdy dokonasz wyboru.

📍Ważne: Wybierz najniższą rolę użytkownika, która odpowiada Twoim potrzebom. Każdy użytkownik, który loguje się przez SAML SSO, może automatycznie dziedziczyć tę rolę. Przypisanie domyślnie uprawnień Edytora lub Administratora może nadać użytkownikom więcej uprawnień niż zamierzono.

Następnie przejdź do zakładki „Przekierowania i linki SSO”.

Tutaj możesz dodać przydatny przycisk pojedynczego logowania do swojej strony logowania WordPress dla wygody użytkowników.

Upewnij się tylko, że opcja zatytułowana „Dodaj przycisk pojedynczego logowania na stronie logowania WordPress” jest włączona.

Ta mała zmiana doda przycisk „Zaloguj przez [nazwa dostawcy tożsamości]” do ekranu logowania WordPress, ułatwiając użytkownikom logowanie się przy użyciu istniejących poświadczeń Google Apps.

Oto jak wygląda nasz:

WordPress SAML Single Sign-On: Najczęściej zadawane pytania

Omówiliśmy kroki konfiguracji SAML SSO w WordPress, ale możesz nadal mieć kilka pytań. Przyjrzyjmy się kilku najczęstszym:

Czy SAML i SSO to to samo?

Nie, SAML i SSO to nie to samo. SAML (Security Assertion Markup Language) to specyficzny protokół używany do implementacji SSO.

Istnieją inne sposoby osiągnięcia SSO oprócz używania SAML. Jednak SAML jest popularną i bezpieczną opcją implementacji SSO w różnych aplikacjach, w tym w WordPress.

Jaka jest różnica między SAML SSO a logowaniem jednym kliknięciem za pomocą wtyczki?

SAML SSO wykorzystuje bezpieczny protokół uwierzytelniania i łączy WordPress z dostawcą tożsamości, takim jak Google Workspace lub Okta. Zapewnia to silniejsze bezpieczeństwo i scentralizowane zarządzanie użytkownikami.

Jednokrotne wtyczki logowania są zazwyczaj łatwiejsze w konfiguracji i często opierają się na OAuth, ale mogą nie zapewniać takiego samego poziomu bezpieczeństwa korporacyjnego i kontroli dostępu jak SAML SSO.

Czy WordPress oferuje pojedyncze logowanie (SSO)?

WordPress nie zawiera domyślnie wbudowanego wsparcia dla SSO. Możesz jednak łatwo dodać funkcjonalność SAML SSO za pomocą wtyczek WordPress, takich jak miniOrange SAML Single Sign On.

Czy SSO i logowanie społecznościowe to to samo?

Nie, logowanie społecznościowe jest rodzajem SSO, ale nie są one dokładnie tym samym. Logowanie społecznościowe pozwala użytkownikom logować się za pomocą kont takich jak Google lub Facebook, podczas gdy SAML SSO obsługuje szerszy zakres korporacyjnych dostawców tożsamości i oferuje bardziej zaawansowane funkcje bezpieczeństwa.

Więcej informacji znajdziesz w naszym przewodniku na temat dodawania logowania społecznościowego w WordPress.

Wskazówki dotyczące bezpieczeństwa WordPress, aby logowanie było bezpieczniejsze

Chociaż logowanie SAML SSO jest dość bezpieczne, oto kilka dodatkowych wskazówek, które możesz wdrożyć, aby jeszcze bardziej wzmocnić bezpieczeństwo WordPress:

• Wymuszaj silne hasła dla swoich użytkowników WordPress.
• Włącz dwuskładnikowe uwierzytelnianie (2FA) dla dodatkowej warstwy ochrony.
• Ogranicz liczbę prób logowania, aby zapobiec atakom typu brute-force.
• Uważaj na podejrzane próby logowania, monitorując swoje logi logowania.
• Ogranicz dostęp do obszaru administracyjnego WordPress według adresu IP.
• Regularnie twórz kopie zapasowe swojej witryny WordPress na wypadek naruszeń bezpieczeństwa.
• Aktualizuj rdzeń WordPress, wtyczki i motywy, aby rozwiązać wszelkie luki w zabezpieczeniach.
• Wymuś wylogowanie wszystkich użytkowników i od czasu do czasu każ im zmienić hasła w WordPress.

Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak skonfigurować SAML SSO w WordPress. Możesz również zapoznać się z naszym przewodnikiem na temat uzyskania bezpłatnego certyfikatu SSL dla swojej witryny oraz naszym wyborem najlepszych niezbędnych wtyczek WordPress do rozwoju Twojej witryny.

Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.