Công cụ tích hợp SSO của Epsilon Retail Media cho phép kết nối trực tiếp với IDP của nhà bán lẻ thông qua SAML 2.0. Từ đây, bạn có thể hỗ trợ người dùng của nhà bán lẻ đăng nhập qua SSO và xác thực bằng IDP của bạn.

📘

Chỉ dành cho người dùng của nhà bán lẻ

Là một nền tảng nhiều người thuê cho phép các nhà quảng cáo truy cập vào nhiều nền tảng bán lẻ, khả năng của chúng tôi phù hợp nhất với các nhà bán lẻ đang tìm cách thực thi SSO cho nhân viên nội bộ chứ không phải cho nhà quảng cáo.

Chúng tôi không cho phép quyền được ủy quyền về vòng đời của người dùng nhà quảng cáo, vì điều này có thể ảnh hưởng đến các nền tảng bán lẻ khác.

Phạm vi khả năng

Epsilon Retail Media cho phép IDP của bạn xác thực xem người dùng có quyền truy cập vào không gian tên của bạn hay không. Công cụ này được cấu hình theo không gian tên. Xin lưu ý rằng tính năng SSO trên nền tảng cho phép xác thực, chứ không phải ủy quyền. Việc quản lý quyền truy cập nhóm vẫn được cấu hình theo chương trình trên nền tảng.

📘

Quyền truy cập của nhà quảng cáo

Vì nền tảng của chúng tôi là một nền tảng nhiều người thuê được kết nối trên toàn cầu; Các nhà quảng cáo vẫn sẽ đăng nhập trực tiếp thông qua mô-đun đăng nhập. Các nhà quảng cáo sẽ vẫn cần được mời vào nền tảng của bạn để có quyền truy cập, ngay cả khi họ có thể truy cập vào các nền tảng của nhà bán lẻ khác.

Thông tin chính

• Đây là tính năng phù hợp nhất cho các nhà bán lẻ muốn quản lý vòng đời người dùng nội bộ để phục vụ những công tác như thiết lập quy trình nghỉ việc an toàn cho nhân viên nội bộ
• Quyền truy cập của nhóm và người dùng phải được quản lý theo chương trình trên nền tảng và không thể thực hiện thông qua tích hợp SSO
• Mọi hoạt động hỗ trợ và quản lý người dùng IDP sẽ do nhà bán lẻ quản lý.
• Vòng đời người dùng của nhà quảng cáo phải nằm trong phạm vi nền tảng Epsilon. Người dùng là nhà quảng cáo ngoài hệ thống không có quyền ủy quyền vì điều này có thể ảnh hưởng đến các quyền truy cập nền tảng khác của nhà quảng cáo.

Quy trình dành cho người dùng

Các quy trình khác nhau cho cả người dùng nền tảng hiện tại và người dùng mới.

Quy trình dành cho người dùng hiện tại

Nếu bạn triển khai SSO sau khi khởi chạy, hầu hết người dùng sẽ có quyền truy cập vào nhóm và có tài khoản được thiết lập trong Epsilon. Do đó, quy trình trở nên đơn giản hơn.

Quy trình dành cho người dùng mới

Đối với người dùng mới, bạn phải mời từng người dùng vào các nhóm liên quan. Họ phải đăng ký và sau đó xác thực thông qua IDP SSO của bạn để được phép truy cập trong tương lai.

Nếu cần, họ cũng có thể đăng nhập trực tiếp qua SSO IDP của bạn. Hệ thống sẽ tạo người dùng ngay khi xác thực thành công. Người dùng vẫn cần được mời thủ công vào nhóm liên quan theo lập trình. Bạn nên mời người dùng trước để đảm bảo quyền truy cập nhóm của họ đã được định cấu hình.

Trải nghiệm người dùng

Trên các cổng thông tin có tích hợp SSO của nhà bán lẻ, trường mật khẩu được loại bỏ khỏi màn hình đăng nhập ban đầu. Nếu người dùng nhập email được kết nối với IDP của bạn theo tên miền nhà bán lẻ của bạn, thì người dùng đó sẽ tự động được chuyển tiếp đến IDP của bạn để xác thực.

Chức năng quên mật khẩu cũng được ủy quyền cho phần nhập mật khẩu ở bước tiếp theo vì bạn chịu trách nhiệm quản lý mật khẩu liên quan đến SSO.

Yêu cầu về tích hợp

Tích hợp IDP

Để tích hợp, Epsilon yêu cầu bạn cung cấp thông tin dưới đây:

Từ IDP của bạn

• ID thực thể
• URL SSO
• Chứng nhận chữ ký IDP

Chúng tôi cũng yêu cầu những thông tin dưới đây:

• Liên kết hỗ trợ đăng nhập tùy chỉnh: liên kết này sẽ được hiển thị cho tất cả người dùng. Ở đây, bạn sẽ cần nhúng một liên kết để giải thích quy trình đăng nhập
• Thông báo tùy chỉnh: thông báo tùy chỉnh được hiển thị liên quan đến liên kết tùy chỉnh
• Nhãn liên kết tùy chỉnh: nhãn cho liên kết trợ giúp đăng nhập tùy chỉnh
• Tên trang web để đặt lại mật khẩu: tên trang web được hiển thị cho người dùng
• URL mật khẩu hết hạn: nơi IDP của bạn sẽ chuyển tiếp các liên kết hết hạn mật khẩu

Ở phía Epsilon, Epsilon cũng sẽ định cấu hình theo thông tin bên dưới. Thông tin này sẽ được chia sẻ với bạn:

• ID thực thể (URI đối tượng)
• URL cơ sở
• URL ACS

Những thông tin này sẽ được đội ngũ Epsilon cung cấp.

Thuộc tính ánh xạ

Các thuộc tính có trong cấu hình Epsilon là:

• email chính
• tên
• họ
• email

Bạn có thể phải định cấu hình ánh xạ trong IDP của mình sao cho phù hợp.

Chức năng SSO không được hỗ trợ

Cung cấp/Hủy cung cấp người dùng: Do cấu hình kỹ thuật của nhóm người dùng trong Epsilon, khả năng dễ dàng thêm, quản lý và xóa người dùng trong nhóm mà không cần can thiệp thủ công trong cả Nhà cung cấp danh tính (IDP) và nền tảng Epsilon.

Cấu hình và Hỗ trợ tài khoản người dùng: Epsilon không cung cấp dịch vụ quản lý và hỗ trợ tài khoản người dùng khi nhà bán lẻ chuyển sang SSO. Epsilon sẽ xóa tùy chọn đăng nhập trực tiếp và liên kết đặt lại mật khẩu, và tất cả người dùng SSO sẽ được chuyển hướng trở lại nhà bán lẻ để nhận được hỗ trợ quản lý người dùng.

SSO của nền tảng thuộc sở hữu của nhà bán lẻ: Giải pháp thay thế cho tài khoản nhà quảng cáo

Nếu bạn là nhà bán lẻ tích hợp khả năng API đối tác của chúng tôi và cung cấp cho nhà quảng cáo giao diện riêng, chúng tôi có giải pháp thay thế dành cho nhà bán lẻ giúp bạn quản lý vòng đời của nhà quảng cáo trong cổng thông tin của riêng bạn.

Mục đích của khả năng này cũng là cho phép nền tảng của bạn tự động xác thực với nền tảng của Epsilon trong không gian tên của bạn.

Tổng quan cấp cao

Giải pháp thay thế này bao gồm việc tận dụng các chức năng SSO hiện có của nhà bán lẻ, bằng cách cho phép bạn tạo tài khoản nhà quảng cáo dưới tên miền của mình.

• Nhà bán lẻ sẽ tạo tài khoản người dùng trong dịch vụ Nhà cung cấp danh tính (IDP) của họ. Sử dụng tính năng cung cấp kịp thời (JIT) của Epsilon OKTA, tài khoản người dùng trên nền tảng Epsilon sẽ được tự động cung cấp.
• Nhà bán lẻ sẽ mời người dùng vào nhóm nhà cung cấp hoặc nhà bán lẻ cần thiết thông qua giao diện người dùng quản lý nhóm Epsilon. (Nếu không có điều này, người dùng sẽ thấy giao diện người dùng trống trong Epsilon)
• Tài khoản người dùng phải có tên miền duy nhất do Nhà bán lẻ chỉ định. Nhiều tên miền có thể được định cấu hình trong OKTA như [email protected], [email protected], [email protected]

Hủy cung cấp

Quy trình hủy quyền truy cập của người dùng sẽ như sau:

• Nhà bán lẻ sẽ hủy cung cấp tài khoản người dùng trong IDP.
• Người dùng sẽ không thể xác thực/đăng nhập vào nền tảng Epsilon bằng email người dùng của nhà bán lẻ.
  • Người dùng vẫn có thể xác thực/đăng nhập vào các nền tảng nhà bán lẻ khác bằng email nhà quảng cáo thông thường của họ.
• Tài khoản người dùng vẫn tồn tại trong Epsilon, tuy nhiên sau 90 ngày không hoạt động, quy trình Quản lý Vòng đời sẽ hủy kích hoạt tài khoản của họ.
• Nếu tài khoản người dùng được kích hoạt lại trong IDP thì tài khoản người dùng tương ứng trong Epsilon cũng sẽ được kích hoạt.
• Nếu nhà bán lẻ yêu cầu xóa hoàn toàn người dùng khỏi Epsilon, họ phải được xóa thủ công khỏi (các) nhóm mà họ được mời tham gia trên nền tảng.

Hạn chế

• Điều này không duy trì vòng đời tài khoản của nhà quảng cáo thực sự mà thay vào đó tạo ra một người dùng riêng biệt trùng lặp cho nhà quảng cáo bên dưới tên miền nhà bán lẻ của bạn. Điều này có thể gây nhầm lẫn cho nhà quảng cáo.
  • [email protected] vẫn là người dùng trên nền tảng Epsilon, có quyền truy cập vào tất cả các nhóm trên nhiều nhà bán lẻ.
    [email protected] được quản lý bởi bạn, nhà bán lẻ, theo tên miền thuộc sở hữu của bạn
• Giải pháp thay thế này vẫn duy trì những hạn chế tương tự được nêu trong phần Chức năng SSO không được hỗ trợ, trong đó nhà bán lẻ sẽ cần quản lý cấu hình tài khoản, hỗ trợ và quyền truy cập của người dùng/nhóm.
• Mọi hoạt động hỗ trợ và quản lý người dùng sẽ do nhà bán lẻ quản lý.

Câu hỏi thường gặp

• Điều gì xảy ra nếu tôi không mời ai đó vào nhóm của họ nhưng họ đăng nhập qua SSO?
  • Nếu người dùng không tồn tại nhưng đăng nhập qua SSO, họ sẽ thấy màn hình trống cho đến khi bạn mời họ vào nhóm.
• Có cách nào để quản lý quyền truy cập của nhóm/người dùng bằng SSO hoặc API không?
  • Không, hiện tại không thể thực hiện được điều này và cần phải xử lý theo chương trình thông qua UI.