Este documento descreve a configuração e a funcionalidade do SAML Single Sign-On para autenticação e gestão de utilizadores. Aqui descrevemos o processo de integração, recursos e etapas para configuração.
Principais Benefícios do Produto
1. Autenticação Simplificada
o Permite que os clientes façam login através do seu Provedor de Identidade.
o Suporta fluxos iniciados tanto pelo Provedor de Serviço (SP) como pelo Provedor de Identidade (IdP).
2. Provisionamento e Gestão de Utilizadores
o Provisionamento, atualização e desativação de Utilizadores, usando SCIM.
o Provisionamento Just-In-Time para utilizaddores que não querem configurar o SCIM.
o Suporte ao para mapeamento de atributos para funções personalizadas de utilizadores e equipas.
o Os utilizadores provisionados através do SAML já não precisarão de passar pelo tradicional processo de aprovação de solicitação de utilizadores, reduzindo significativamente a sobrecarga administrativa.
3. Segurança Aprimorada
o Manipulação segura de Name ID, atributos e contextos de autenticação.
o Autenticação de Domínio Associado para garantir que os utilizadores pertençam à organização correta.
Descrição do Recurso e Configuração
· Esta atualização destina-se principalmente a grandes organizações.
· Os exemplos abaixo utilizam o Okta como Provedor de Identidade, no entanto, a integração SAML funciona com qualquer Provedor de Identidade que suporte SAML 2.0.
Cada IdP pode ter uma interface ligeiramente diferente para configuração, mas o processo central de configuração permanece o mesmo:
1. Crie uma aplicação dentro do IdP.
2. Configure a URL ACS e o ID da Entidade SP fornecidos pelo Provedor de Serviço (CisionOne/Streem).
3. Mapeie atributos como email, first_name, last_name e funções personalizadas.
Configuração do SAML (Lado Okta - Requerido)
1. Crie uma nova Integração de Aplicativo no Okta
Aceda ao painel de administração do seu Provedor de Identidade e crie uma nova integração de aplicativo. Certifique-se de selecionar SAML 2.0 como o método de autenticação, se solicitado.
2. Copie e Cole ACS e SP Entity ID do CisionOne
· Aceda à página de Integração SAML através de Organização → Integrações → SAML.
· Copie a URL ACS e SP Entity ID.
. Cole a URL ACS e o ID da Entidade SP nos campos apropriados. Utilize o endereço de e-mail como o formato do Name ID do nome e use o e-mail como o e também como Nome de Utilizador da Aplicação.
3. Configurar Atributos
1. Configure as declarações de atributo através da seção de declarações de atributos do seu Provedor de Identidade. Atualmente, exigimos os seguintes atributos:
1. email
2. first_name
3. last_name
4. primary_team (opcional)
5. monitoring_user_role (opcional)
6. social_user_role (opcional)
7. outreach_user_role (opcional)
No Okta, deslize para baixo a partir da Integração SAML até à secção Attribute Statements e adicione os seguintes atributos.3. Configurar Atributos
· Certifique-se de que os atributos obrigatórios e os opcionais desejados estão configurados no editor de perfil do Okta.
Configuração do SAML (CisionOne - Requerido)
1. Copiar e Colar ACS e SP Entity ID do Okta
· Após criar a aplicação, copie a URL SSO, o Emissor do Provedor de Identidade (Identity ID) e o Certificado X.509 do seu Provedor de Identidade e cole esta informação na página de integração do CisionOne para estabelecer a conexão.
2. Configurar Domínios Associados
· Se tiver utilizadores em vários domínios ou organizações, configure a autenticação de domínio e use a chave gerada para adicionar aos seus registos DNS. Certifique-se de clicar em “Verificar Domínios” para estabelecer corretamente a conexão.
· Se os utilizadores fizerem parte de múltiplas organizações ou contas, certifique-se da verificação adequada de domínios em ambas as contas. Isso ajuda a evitar conflitos de roteamento e garante que os utilizadores sejam autenticados corretamente. Se esta configuração não for feita, o utilizador não poderá ver suas organizações alternativas no menu de organizações no canto superior esquerdo e precisará iniciar sessão nas outras contas separadamente, sem SAML SSO. their other accounts separately without SAML SSO.
3. Configurar Mapeamento de Valor de Atributos Personalizados
· Para que os atributos de função e de equipa funcionem, o administrador deve mapear os valores de atributos personalizados dentro do CisionOne.
· Desça na integração SAML do CisionOne e abra o acordeão “Atributos Personalizados (Opcionais)”.
Nota: se a organização não tiver os atributos opcionais configurados, serão atribuídas equipas e funções padrão conforme configurado no CRM. Se não tiver uma equipa padrão, não serão atribuídos a nenhuma equipa.
SCIM Setup (Okta & Cision)
SCIM is independent from SAML, Okta allows us to use this specification to provision, deprovision and update users.
If SCIM is not set up provisioning will still be available via Just-In-Time provisioning, but updates and user de-provisioning will not be available.
SCIM Form
Go to the SCIM form by going into the App Integration → Provisioning → SCIM Connection.
Fill in the form as demonstrated below, ensure the SCIM connector base URL path is /scim/v2
CisionOne URL: https://identity.cision.one/scim/v2
Streem URL: https://identity.streem.one.au/scim/v2
Please use “email” as the “Unique Identifier Field for Users”
Select the “Push New Users” and “Push Profile Updates” checkboxes
Use HTTP Header as the authentication mode
When reaching the HTTP Head → Authorisation section, refer back to the integration page inside CisionOne.
Scroll to the bottom of the page to generate & copy a token. Paste this token into the Authorisation field inside the IDP.
After entering all the details inside of the Okta SCIM form, click on “Test Connector Configuration”. After testing the connection, you should see the following screen:
Enable the push actions to allow the IDP to automatically create, update and deactivate users inside Cision.
Now, when you add, remove or make changes to a user inside the IDP, they’ll be synched with the user profile inside Cision.
The Authorisation token to be used is the one generated on the SAML integration modal.
Attributes for SCIM
When assigning attributes for SCIM, please add the “External Namespace” field per the screenshot below.
Note: The external namespace for teams needs to be
urn:ietf:params:scim:schemas:extension:teams:2.0:Userand the external nameprimary_teamFor roles the external namespace needs to be
urn:ietf:params:scim:schemas:extension:roles:2.0:Userand the external names need to be either of the below depending on the desired user role type:
monitoring_user_role,social_user_role,outreach_user_roleThen when you add a user to the application, remove it or make changes to the user they’ll be synched with the API and Identity service.
Sign-In Flow
The integration allows for both SP-initiated and IdP-initiated authentication flows.
From the IDP
After setup, you should be able to see the created application inside user dashboards of your Identity Provider. When clicking on the tile, the browser will redirect to CisionOne and sign the user in. The tile will also provision the user if their user does not exist on Cision yet.
From CisionOne
To sign-in from CisionOne select the “Sign in with SAML” button. The user must type in their corporate email and select “Single Sign-On”. After signing in, the user may be briefly redirected to their Identity Provider and will redirect back to Cision.
If the users' email does not exist or there is an issue with their sign in, the following error message will display.
