Jak prawidłowo skonfigurować SAML Single Sign-On (SSO) w WordPress

W WPBeginner zawsze staraliśmy się ułatwić pracę naszemu zespołowi i użytkownikom. Kiedy skonfigurowaliśmy SAML Single Sign-On (SSO), szybko udowodniło to swoją wartość.

Nasz zespół mógł uzyskać dostęp do wszystkich ich narzędzi za pomocą jednego logowania, a my zyskaliśmy spokój ducha, wiedząc, że nasze bezpieczeństwo jest silniejsze.

SAML SSO to solidne rozwiązanie dla każdej firmy skoncentrowanej na wydajności i bezpieczeństwie.

Pozwala Twojemu zespołowi zalogować się raz, aby uzyskać dostęp do wszystkiego, podczas gdy Ty zachowujesz kontrolę nad uprawnieniami użytkowników. Firmy korzystające z SSO odnotowują mniej zgłoszeń do pomocy technicznej i lepszą ogólną produktywność.

W tym przewodniku przeprowadzimy Cię przez proces konfiguracji jednokrotnego logowania SAML, pomagając Ci zmienić sposób, w jaki Twoja witryna obsługuje logowania.

Czym jest Single Sign-On SAML?

SAML oznacza Security Assertion Markup Language. Jest to bezpieczny sposób, w jaki Twoja witryna WordPress może komunikować się z innymi usługami, takimi jak Google i Office 365.

Natomiast SSO oznacza jednokrotne logowanie. Oznacza to, że użytkownicy mogą używać jednego hasła do wielu usług.

Dzięki SAML SSO użytkownicy mogą logować się do Twojej witryny, używając swoich istniejących danych uwierzytelniających z tych usług. Oznacza to koniec zapamiętywania dodatkowych nazw użytkowników i haseł – wystarczy jedno logowanie do wszystkiego.

Jest to szczególnie przydatne dla organizacji i przedsiębiorstw, gdzie ludzie korzystają z wielu różnych platform internetowych. Na przykład, w WPBeginner używamy SSO, aby nasi członkowie zespołu mogli łatwo uzyskać dostęp do swoich narzędzi za pomocą jednego logowania.

Mając to wszystko na uwadze, zobaczmy, jak łatwo skonfigurować SAML SSO w WordPress. Możesz użyć tych szybkich linków, aby przejść przez samouczek:

• Krok 1: Zainstaluj miniOrange SAML Single Sign On
• Krok 2: Połącz swoją witrynę z dostawcą tożsamości
• Krok 3: Konfiguracja ustawień SAML SSO w WordPress
• WordPress SAML Single Sign-On: Najczęściej zadawane pytania
• Wskazówki dotyczące bezpieczeństwa WordPress, aby logowanie było bezpieczniejsze

Krok 1: Zainstaluj miniOrange SAML Single Sign On

Najprostszym sposobem na włączenie SAML SSO na Twojej stronie WordPress jest wtyczka miniOrange SAML Single Sign On.

Jest bezpłatny i pozwala połączyć Twoją witrynę z różnymi dostawcami tożsamości, takimi jak Google Apps, Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 i Sharepoint.

Ponadto ta wtyczka umożliwia użytkownikom dostęp do wielu witryn i aplikacji za pomocą jednego logowania. Mając to na uwadze, możesz powtórzyć poniższe kroki dla pozostałych witryn, do których Twój zespół powinien mieć dostęp.

Mimo to, jeśli prowadzisz sieć WordPress multisite, musisz wykonać kroki tylko raz na swojej głównej stronie sieciowej, a SSO będzie automatycznie działać na wszystkich Twoich witrynach.

Najpierw musisz zainstalować wtyczkę. Jeśli dopiero zaczynasz przygodę z wtyczkami WordPress, mamy pomocny przewodnik, który krok po kroku przeprowadzi Cię przez proces instalowania wtyczki WordPress.

Po zainstalowaniu wtyczki przejdź do swojego panelu WordPress i wybierz miniOrange SAML 2.0 SSO » Konfiguracja wtyczki.

Następnie przejdź do zakładki „Metadane dostawcy usług”. Pozostaw tę stronę otwartą, ponieważ będziemy potrzebować informacji z niej w następnym kroku.

Krok 2: Połącz swoją witrynę z dostawcą tożsamości

Teraz, gdy wtyczka jest zainstalowana w WordPress, czas połączyć Twoją witrynę z dostawcą tożsamości SAML (SAML IdP).

IdP SAML to usługa, która zarządza kontami użytkowników i uwierzytelnia użytkowników. Pomyśl o tym jak o centralnym centrum, w którym użytkownicy logują się raz, a to logowanie daje im dostęp do różnych aplikacji, w tym do Twojej witryny WordPress.

W tym przykładzie użyjemy Google Apps jako naszego SAML IdP. Jednak aby używać Google Apps jako SAML IdP, będziesz potrzebować konta administratora Google, które różni się od Twojego zwykłego konta Gmail.

Konto administratora Google zarządza użytkownikami i ustawieniami dla Google Workspace Twojej organizacji. Zazwyczaj nie kończy się ono rozszerzeniem @gmail.com.

Najpierw przejdź do strony Google Admin Console.

W menu bocznym przejdź do sekcji „Aplikacje” i kliknij „Aplikacje internetowe i mobilne”.

Stąd otwórz menu rozwijane „Dodaj aplikację”.

Następnie wybierz „Dodaj niestandardową aplikację SAML”.

Teraz nadaj swojej niestandardowej aplikacji SAML nazwę (coś w stylu „Niestandardowa aplikacja SAML miniOrange”) i krótki opis (np. „Aplikacja SAML SSO dla WordPress”).

Gdy będziesz zadowolony, kliknij „Kontynuuj”.

Tutaj zobaczysz dwie opcje konfiguracji WordPress SSO.

Wybierzemy łatwiejszą opcję (opcja 1), która polega na pobraniu metadanych IdP. Ta metoda jest znacznie szybsza, ponieważ nie będziesz musiał ręcznie wprowadzać metadanych IdP i kopiować certyfikatu x509 później.

Kliknij „Pobierz metadane”, aby rozpocząć.

Następnie przewiń do samego dołu.

Kliknij „Kontynuuj”.

Na następnej stronie zobaczysz formularz z danymi Twojego dostawcy usług.

W naszym przypadku jest to nasza witryna WordPress z pomocą miniOrange.

Teraz wróć do swojego panelu WordPress, gdzie pozostawiłeś otwartą stronę wtyczki miniOrange na zakładce „Metadane dostawcy usług”.

Przewiń w dół, aby znaleźć informacje o swoim dostawcy usług (ACS URL i Entity ID). Pozostaw tę stronę otwartą, ponieważ będziesz musiał przełączać się między tą stroną a konsolą administracyjną Google.

Teraz wróć do konsoli administracyjnej Google i skopiuj te informacje do odpowiednich pól.

Upewnij się, że zaznaczyłeś również pole „Signed response”.

Przewijając w dół strony, wybierz „EMAIL” dla formatu Nazwy użytkownika i wybierz „Podstawowe informacje > Podstawowy adres e-mail” dla Nazwy użytkownika.

Następnie kliknij „Kontynuuj”.

Następny krok polega na dodaniu pól użytkowników i mapowaniu ich między Google Directory a Twoją witryną WordPress (wtyczka miniOrange).

Jest to zasadniczo jak wybieranie, które informacje z kont Google są przesyłane do Twojej witryny WordPress.

Kliknij „Dodaj mapowanie”, aby rozpocząć. Następnie dodaj pole „Imię” z Google i zmapuj je na atrybut „firstname”.

Po zakończeniu mapowania pożądanych pól przewiń w dół.

Następnie kliknij „Zakończ”.

Teraz przejdziesz do niestandardowej strony aplikacji SAML w konsoli administracyjnej Google.

Ostatnim krokiem jest aktywacja aplikacji dla Twoich użytkowników. Więc śmiało kliknij „WYŁĄCZONY dla wszystkich”.

Teraz po prostu przełącz ją na „WŁĄCZONE dla wszystkich”.

Na koniec kliknij „Zapisz”, aby sfinalizować konfigurację.

Krok 3: Konfiguracja ustawień SAML SSO w WordPress

Wróćmy do strony wtyczki miniOrange SSO w swoim obszarze administracyjnym WordPress. Teraz skonfigurujemy Twoje logowanie SSO w WordPress.

Teraz przejdź do zakładki „Konfiguracja dostawcy usług” i wybierz „Google Apps”.

Przewiń w dół i przejdź do zakładki „Prześlij metadane IDP”.

Tutaj będziesz musiał wprowadzić nazwę dostawcy tożsamości (prawdopodobnie coś w stylu „GoogleApps”) i przesłać plik XML, który wcześniej pobrałeś z Google Admin Console.

Po wypełnieniu wszystkich pól kliknij „Prześlij”.

Gratulacje! Pomyślnie połączyłeś swojego bloga WordPress z Twoim dostawcą tożsamości SAML Google Apps. Teraz skonfigurujmy dodatkowe ustawienia.

Najpierw przełącz się na kartę „Mapowanie atrybutów/ról”.

Tutaj możesz zdefiniować, jak informacje o użytkowniku z Google Apps są mapowane na konta użytkowników w WordPress.

Przewiń w dół do sekcji „Mapowanie ról” i wybierz domyślną rolę użytkownika, którą chcesz przypisać nowym użytkownikom logującym się za pomocą SAML SSO.

W tym przykładzie wybraliśmy „Edytor”. Kliknij „Aktualizuj”, gdy dokonasz wyboru.

Następnie przejdź do zakładki „Przekierowania i linki SSO”.

Tutaj możesz dodać przydatny przycisk pojedynczego logowania (single sign-on) do swojej strony logowania WordPress dla wygody użytkowników.

Upewnij się tylko, że opcja zatytułowana „Dodaj przycisk pojedynczego logowania na stronie logowania WordPress” jest włączona.

Ta niewielka zmiana doda przycisk „Zaloguj się za pomocą [nazwa dostawcy tożsamości]” do ekranu logowania WordPress, ułatwiając użytkownikom logowanie się przy użyciu istniejących poświadczeń Google Apps.

Oto jak wygląda nasz:

WordPress SAML Single Sign-On: Najczęściej zadawane pytania

Omówiliśmy kroki konfiguracji SAML SSO w WordPress, ale możesz nadal mieć kilka pytań. Przyjrzyjmy się kilku najczęstszym:

Czy SAML i SSO to to samo?

Nie, SAML i SSO to nie to samo. SAML (Security Assertion Markup Language) to specyficzny protokół używany do implementacji SSO.

Istnieją inne sposoby osiągnięcia SSO oprócz używania SAML. Jednak SAML jest popularną i bezpieczną opcją implementacji SSO w różnych aplikacjach, w tym w WordPress.

Jaka jest różnica między SAML SSO a logowaniem jednym kliknięciem za pomocą wtyczki?

Tak, istnieją wtyczki logowania do WordPress, które oferują funkcjonalność jednym kliknięciem, co jest znacznie prostszą opcją w porównaniu do SAML SSO.

Kluczowa różnica polega na sposobie działania. SAML SSO wymaga utworzenia niestandardowej aplikacji w konsoli administracyjnej Google w celu bezpiecznej komunikacji. Wymaga to więcej konfiguracji, ale oferuje większe bezpieczeństwo i scentralizowane zarządzanie użytkownikami.

Z drugiej strony, wtyczki logowania jednym kliknięciem wykorzystują istniejące protokoły, takie jak OAuth, do łączenia się z usługami takimi jak Google. Nie potrzebujesz uprawnień administratora Google, ale może to nie oferować tego samego poziomu bezpieczeństwa co SAML SSO.

Czy SSO i logowanie społecznościowe to to samo?

Logowanie społecznościowe to rodzaj SSO, który pozwala użytkownikom logować się do Twojej witryny WordPress przy użyciu ich istniejących danych uwierzytelniających mediów społecznościowych (takich jak Facebook). SAML SSO natomiast jest bezpieczniejszą i bardziej elastyczną opcją, która może być używana z szerszym zakresem dostawców tożsamości, nie tylko platformami mediów społecznościowych.

Więcej informacji na temat dodawania opcji logowania społecznościowego do witryny WordPress można znaleźć w naszym przewodniku jak dodać logowanie społecznościowe w WordPress.

Wskazówki dotyczące bezpieczeństwa WordPress, aby logowanie było bezpieczniejsze

Chociaż logowanie SAML SSO jest dość bezpieczne, oto kilka dodatkowych wskazówek, które możesz wdrożyć, aby jeszcze bardziej wzmocnić bezpieczeństwo WordPress:

• Wymuszaj silne hasła dla swoich użytkowników WordPress.
• Włącz uwierzytelnianie dwuskładnikowe (2FA) dla dodatkowej warstwy ochrony.
• Ogranicz liczbę prób logowania, aby zapobiec atakom typu brute-force.
• Uważaj na podejrzane próby logowania, monitorując swoje logi logowania.
• Ogranicz dostęp do swojego obszaru administracyjnego WordPress według adresu IP.
• Regularnie wykonuj kopie zapasowe swojej witryny WordPress na wypadek naruszeń bezpieczeństwa.
• Aktualizuj rdzeń WordPress, wtyczki i motywy, aby rozwiązać wszelkie luki w zabezpieczeniach.
• Wymuś wylogowanie wszystkich użytkowników i od czasu do czasu każ im zmieniać hasła w WordPress.

Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak skonfigurować SAML SSO w WordPress. Możesz również zapoznać się z naszym przewodnikiem na temat jak uzyskać darmowy certyfikat SSL dla swojej witryny oraz naszym wyborem najlepszych niezbędnych wtyczek WordPress do rozwoju Twojej witryny.

Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.