Hvordan opsætter jeg Single Sign-On (SSO) med Monta?
Forklarer, hvordan du konfigurerer OpenID Connect (OIDC) Single Sign-On til Monta Hub. Brug denne artikel til at forbinde din identitetsudbyder og centralisere brugergodkendelse.
Monta understøtter Single Sign-On ved hjælp af OpenID Connect (OIDC), hvilket giver operatører mulighed for at godkende brugere via deres eksisterende OAuth 2.0 Identity Providers (IdPs) såsom Microsoft Azure AD, Google, Auth0 og andre, der følger OIDC-standarden.
Hvorfor bruge SSO med Monta?
SSO forbedrer din organisations sikkerhed og forenkler brugerstyringen ved at centralisere godkendelsen.
Vigtigste fordele:
- Øget sikkerhed - Centraliseret kontrol og håndhævelse af MFA.
- Strømlinet brugeradgang - Brugere logger ind én gang for at få adgang til Monta og andre virksomhedsapps.
- Forenklet administration - Tilføj eller fjern brugere direkte via din IdP.
- Klar til enterprise - SSO er et kernekrav for større teams og partnere.
Understøttede udbydere
Monta understøtter i øjeblikket OIDC-baserede IdPs, herunder:
- Microsoft Entra ID (Azure AD)
- Okta
- Google Workspace
- OneLogin
- Auth0
Opsæt OIDC SSO i Monta
1. Konfigurer din OpenID Connect-udbyder
Tilføj følgende omdirigerings-URI til din IdP-konfiguration:
Omdirigerings-URI:
Erstat {PROVIDER_ID} med dit operatør-id.
2. Angiv konfigurationsoplysninger til Monta
For at fuldføre opsætningen skal du sende følgende oplysninger til din Monta-repræsentant:
| Felt | Beskrivelse |
|---|---|
| Udbydertype | Microsoft, Google, Auth0 eller en hvilken som helst OIDC-kompatibel udbyder |
| Udsteder-URL | Basis-URL, der bruges til at hente IdP-metadata |
| Tenant-ID | Kræves kun for Microsoft Azure AD |
| Client ID | Offentlig identifikator for applikationen |
| Client secret | Hemmelighed delt mellem IdP og Monta |
| E-maildomæner | Domæner tilknyttet denne IdP-konfiguration. Brugere fra disse domæner: • Kan automatisk vælge den korrekte IdP på login-siden • Vil som standard være begrænset til SSO-login. Kontakt Monta, hvis dobbelt login (SSO + e-mail/adgangskode) er påkrævet |
Første SSO-login
Hvis en bruger allerede har en Monta-konto med en virksomheds-e-mailadresse, skal vedkommende logge ind én gang med sin eksisterende loginmetode (e-mail/adgangskode, SMS osv.).
Monta vil knytte deres nye OIDC-identitet til den eksisterende konto.
Sessioners levetid
Standardværdier:
- Sessionens levetid: 30 dage
- Timeout for inaktiv session: 1 dag
Disse kan tilpasses pr. operatør ved at kontakte Monta.
Rolletildeling (just-in-time-rollesynkronisering)
Monta kan læse rolleinformation fra det IdP-udstedte ID-token og anvende Monta-roller automatisk ved hvert SSO-login.
- Roller opdateres, hver gang en bruger logger ind via SSO
- Kræver koordinering med Monta for at konfigurere rollekrav og -tildelinger
Kontakt Monta for at aktivere og konfigurere denne funktion.
Fejlfinding
| Problem | Mulig årsag | Løsning |
|---|---|---|
| MFA-prompter vises ikke | Ikke håndhævet i IdP | Aktivér MFA-politikker direkte i din IdP. |
| Rollemismatch | Forkert claims-mapping | Sørg for, at rolleoplysninger (f.eks. groups eller role) er konfigureret korrekt i IdP. |
| Token-fejl | Ugyldig eller udløbet secret | Regenerér client secret i din IdP og opdatér Monta. |